Malware kapert Social Media-Konten über Browser Plugins

Originalartikel von Don Ladores, Threat Response Engineer

Trend Micro hat eine neue Bedrohung für Social Media-Seiten entdeckt, die die Nutzer von Google Chrome oder Mozilla Firefox betrifft. Die Kriminellen setzen dabei gefälschte Erweiterungen für die Browser ein, um die Anwendersysteme zu infiltrieren und die Social Media-Konten, vor allem in Facebook, Google+ und Twitter, zu kapern.

Verschiedene Köder auf den Seiten der sozialen Netzwerke, etwa Video Player-Updates, sollen die Nutzer dazu verleiten, diese gefälschten Erweiterungen zu installieren. Tatsächlich handelt es sich bei dem Player Update um eine bösartige Datei, die den Schädling TROJ_FEBUSER.AA enthält und ein Browser Plugin für den jeweilig eingesetzten Browser installiert.

Die Sicherheitsforscher entdeckten eine frühere Version von JS_FEBUSER.AA für Google Chrome, die sich als Chrome Service Pack 5.0.0. ausgibt. Für den Firefox nennt sich das Plugin Mozilla Service Pack 5.0.


Bild 1. Die von den bösartigen Plugins verwendeten Namen

Google Chrome hat dieses Plugin bereits als bösartig gekennzeichnet. Eine aktualiserte Version des Plugins (JS_FEBUSER.AB) haben die Sicherheitsforscher unter dem Namen F-Secure Security Pack 6.1.0 (für Google Chrome) und F-Secure Security Pack 6.1 (für Mozilla Firefox) entdeckt.


Bild 2. Die von den aktualisierten bösartigen Dateien verwendeten Namen

Nach der Installation verbindet sich der Schädling mit einer bösartigen URL und lädt hier eine Konfigurationsdatei herunter. Die Einzelheiten aus dieser Datei nutzt er dazu, Konten in den sozialen Medien zu kapern und ohne Erlaubnis des Nutzers die folgenden Aktionen auszuführen:

  • Seiten mit „Gefällt mir“ zu markieren,
  • Einträge mit anderen zu teilen,
  • einer Gruppe beizutreten,
  • Freunde in eine Gruppe einzuladen,
  • mit Freunden zu chatten,
  • Einträge zu kommentieren und
  • Status zu aktualisieren.

Die Angreifer können auf diese Weise Konten in Facebook, Google+ und Twitter kapern und beispielsweise Links zu weiteren bösartigen Webseiten darüber verbreiten.

Und noch etwas: Das gefälschte Video Player Update trägt eine digitale Unterschrift. Die Signaturen stellen eine Möglichkeit für Entwickler und Publisher dar zu beweisen, dass sie tatsächlich der Autor einer Datei sind und diese nicht geändert wurde.


Bild 3. Gültige digitale Zertifikate der bösartigen Video Player Update-Datei

Noch ist nicht geklärt, ob diese Signatur unerlaubterweise erstellt oder ob die Signaturschlüssel einer legitimen Organisation dafür kompromittiert wurden.

Trend Micro blockiert alle damit in Zusammenhang stehenden URLs und erkennt die bösartigen Dateien.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*