Erweiterung für Google Chrome klaut Anwenderdaten
In den vergangenen Monaten tauchten verschiedene Erweiterungen für Googles Browser Chrome auf, die sich nach der Installation als Malware entpuppten. Einer der neuesten Vertreter wurde im Zuge eines Angriffs namens Catch-All bekannt, wie ein Blog-Beitrag von Duo Security meldet.
Das genaue Vorgehen der Malware beschreibt ein Beitrag im Internet Storm Center: Die Entwickler der Schadsoftware verwendeten für die Verbreitung eine Phishing-Mail mit Links zu Fotos, die am vergangenen Wochenende angeblich per WhatsApp versandt wurden. Sobald ein Anwender auf die Verknüpfungen klickte, wurde eine EXE-Datei heruntergeladen, die zunächst als Tarnung ein gefälschtes Installationsfenster des Adobe Acrobat Reader anzeigte.
Gleichzeitig wurde im Hintergrund ein CAB-Archiv geladen und entpackt. Aus dem Archiv entstanden zwei Dateien mit einer Größe von rund 200 MByte, wobei allerdings nur etwa drei Prozent ihres Codes tatsächlich nutzbar war. Offensichtlich waren diese Files auf diese Größe aufgeblasen worden, um sie vor der Prüfung durch Antiviren-Scanner auszunehmen. Die Schutzprogramme lassen umfangreiche Dateien häufig unberücksichtigt, um ihre Erkennungsroutinen nicht zu überlasten.
Rabiate Installation
Die eine Datei versuchte anschließend, die Firewall von Windows zu deaktivieren und beendete zudem sämtliche laufenden Prozesse von Google Chrome. Danach extrahierte sie aus sich selbst eine neue Chrome-Extension und modifizierte den Launcher des Browsers, so dass die Erweiterung beim Start automatisch geladen wurde. Außerdem wurden drei Sicherheitsfeatures außer Kraft gesetzt, so dass Chrome anschließend auch Erweiterungen ohne Autorisierung starten und ohne Nachfrage das Einfügen von Skripts in URLs erlauben würde. Zudem deaktivierte die Malware die Safe-Browsing-Funktion von Chrome. Danach war es dann ein Leichtes, die auf Webseiten eingegebenen Anwenderdaten abzugreifen und an ihren Command & Control-Server zu übermitteln.
Catch-All ist kein Einzelfall. In den vergangenen Wochen und Monaten wurden mehrere Angriffe bekannt, die über Chrome-Erweiterungen ausgeführt wurden und teilweise sogar im Chrome Web Store landeten. Am meisten Aufsehen erregte dabei der gefälschte Werbeblocker AdBlock Plus, der im Oktober von mehr als 37000 Anwendern heruntergeladen wurde. Die Software öffnete selbstständig immer neue Tabs mit Werbeinhalten.
Vorsicht hilft – leider nicht immer
Eine andere Extension stahl die Tokens für den Zugang zu Social-Media-Diensten und konnte auf diese Weise den Facebook-Account des Anwenders übernehmen. Und bereits im September wurde eine Erweiterung entdeckt, die sich als Blocker für Werbenetzwerke ausgab, tatsächlich jedoch im Hintergrund eine Mining-Software für Krypto-Währungen installierte.
Auch wenn der folgende Tipp die von Catch-All installierte, bösartige Erweiterung nicht verhindert hätte, so gilt dennoch: Vor der Installation von Browser-Erweiterung gilt die gleiche Vorsicht, die auch bei der Installation von Apps gilt: Je mehr Downloads einer Erweiterung und je mehr werthaltige Bewertungen, desto unwahrscheinlicher, dass es sich um Malware handelt. Dieses Vorgehen verhindert zumindest die offensichtlichsten Betrugsversuche durch Erweiterungen.