Bösartige Chrome Extensions bilden Droidclub Botnet

Originalbeitrag von Joseph C Chen, Fraud Researcher

Das Team der Trend Micro Cyber Safety Solutions hat ein neues Botnet entdeckt, das sich über Chrome Extensions (die bösartige Extension: BREX_DCBOT.A.) verbreitet und hunderttausende Nutzer trifft. Das Botnet wurde dazu verwendet, um Werbung und Kryptowährungs-Miningcode in Websites einzufügen, die das Opfer aufrufen könnte. Trend Micro hat das Botnet Droidclub benannt, nach einer der ältesten genutzten Command-and-Control (C&C)-Domänen. Zusätzlich missbraucht Droidclub auch legitime Session Replay-Bibliotheken und beschädigt somit die Vertraulichkeit der Nutzer. Diese Bibliotheken sollen dazu dienen, einen Besuch eines Nutzers auf einer Website abzuspielen, sodass der Site-Besitzer sehen kann, was der Nutzer gesehen hat und auch was er eingegeben hat. Forscher hatten bereits vermutet, dass diese Bibliotheken missbraucht werden könnten, doch ist dies das erste Mal, dass es konkret nachweisbar ist.

Die Angreifer bringen Nutzer mithilfe einer Mischung aus Malvertising und Social Engineering dazu, diese bösartigen Chrome Extensions zu installieren. Es wurden 89 Droidclub Extensions im offiziellen Chrome Web Store entdeckt. Nach den Seiten der Extensions zu urteilen könnten 423.992 Nutzer betroffen sein. Google hat die Extensions und die C&C-Server von Cloudflare bereits entfernt. Das Diagramm zeigt das Verhalten von Droidclub:

Bild 1. Droidclub Infektionsablauf

Verbreitung

Bösartige Werbeanzeigen werden genutzt, um falsche Fehlermeldungen anzuzeigen, wobei der Nutzer aufgefordert wird, eine Extension herunterzuladen. Die Extension selbst wirkt harmlos, sogar unsinnig.

Bösartiges Verhalten

Ein mit Droidclub infizierter Browser zeigt immer wieder Web-Werbung an. Die URL und die Häufigkeit der Anzeige werden als Teil der Konfigurationsinfo vom C&C-Server gesendet. Derzeit wird die Malware dazu genutzt, um etwa Werbung für Pornoseiten anzuzeigen. Die Angreifer hinter Droidclub könnten dieses Botnet dazu nutzen, um die Zahl der Impressions für bestimmte Werbeanzeigen zu erhöhen und daraus Profit zu generieren.

Droidclub kann auch die Inhalte der besuchten Websites verändern. Die Extension fügt verschiedene Teile von Javascript-Code ein, wobei diese Seiten durch Hinzufügen externer Links und bestimmter Schlüsselwörter modifiziert werden. Weitere technische Details enthält der Originalbeitrag.

Eine Javascript-Bibliothek von Yandex Metrica wird ebenfalls in besuchte Websites in dem Browser des Opfers eingefügt. Die Kombination der Extension mit der legitimen Web Analytics Javascript-Bibliothek ergibt ein gefährliches Tool, das Daten, die in Formulare eingegeben werden, stehlen kann.

Die Recherche der Trend Micro-Sicherheitsforscher ergab, dass eine frühere Droidclub-Version sich noch im Umlauf befindet. Sie kommuniziert mit demselben Set von C&C-Servern, doch sind die Implementierung und das C&C-Format anders. Die Version stammt vom April 2017, während die neue aus dem November 2017 stammt.

Die ältere Version unterscheidet sich vor allem durch zusätzliches Kryptowährungs-Mining mithilfe von Coinhive-Code, der in die besuchten Websites eingefügt wird, sodass der Browser zum Monero-Miner wird. Die aktuelle Version hat keine Code Injection, der Coinhive-Code bleibt jedoch funktionsfähig und könnte künftig wieder eingefügt werden.

Persistenz

Droidclub ist so aufgesetzt, dass es schwierig wird, die bösartigen Extensions zu deinstallieren. Stellt die Extension fest, dass der Nutzer versucht, sie zu melden (sie prüft, ob der Nutzer eine URL besucht, die der Regular Expression „https://chrome.google.com/webstore/report/([a-z]+)“ entspricht), so wird er zur Einführungsseite der Extension umgeleitet. Versucht er sie zu löschen, so wird der Nutzer auf eine Fake-Seite umgeleitet, die ihn glauben lässt, er habe sie deinstalliert.

Bild 2. Fake Extension-Managementseite

Gegenmaßnahmen

Es gibt mehrere Möglichkeiten, sich gegen diese Bedrohung zu schützen. Die Anzeige von Malvertisements lässt sich über Webblocking Services oder Skriptblocker reduzieren. Auch die Awareness-Schulung von Mitarbeitern ist hilfreich. Systemadministratoren können Chrome Policies setzen, die Nutzer daran hindern, Extensions auf ihren Systemen zu installieren.

Auch können Lösungen wie Trend Micro™ XGen™ Security schützen. Dies ist eine neue Klasse Sicherheitssoftware, die die ganze Bandbreite von sich stetig ändernden Bedrohungen abdeckt – heute und auch künftig. Anstelle separater Insellösungen, die keine Informationen untereinander austauschen, bietet XGen™ Security eine generationsübergreifende Kombination von mehreren Technologien zur Abwehr von Bedrohungen und eine vernetzte Thread Defense, mit der sich Unternehmen vor allen unbekannten Bedrohungen schützen können. Zu den Fähigkeiten gehört High Fidelity Machine Learning, um Daten und Anwendungen am Gateways und Endpunkt zu sichern. Gegen gezielte Angriffe, die traditionelle Sicherheitsmaßnahmen umgehen können bietet die Lösung Web/URL-Filtering, Verhaltensanalysen sowie anpassbare Sandboxen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.