Die IT-Security Firma Duo Security enttarnte millionenfach heruntergeladene Chrome-Erweiterungen, die heimlich Browsing-Daten stahlen.
Über 500 Erweiterungen des Browsers Chrome schöpften seit mindestens einem Jahr heimlich die Daten von Millionen Nutzern ab, wie der Technologie-Blog Ars Technica meldet. Herausgefunden haben das die Sicherheitsforscher von Duo Security. Sie gaben Google den entscheidenden Tipp, der eine koordinierte Kampagne offenbarte. Google entfernte daraufhin alle schädliche Chrome-Erweiterungen aus seinem Store.
Duo Security deckte auf
Mehr als 500 Browsererweiterungen haben heimlich private Informationen auf von Angreifern kontrollierte Server hochgeladen. Benutzer luden sie millionenfach aus dem Chrome Web Store von Google herunter. Die Firma Duo Security rund um die Sicherheitsforscherin Jamila Kayak entdeckte die Malware-Kampagne. In einem gerade veröffentlichten Bericht heißt es, dass die unbekannten Kriminellen, Nutzer auf Malware– oder Phishing-Websites führten. Sie leiteten User über einen Affiliate-Link zu seriösen Websites von Unternehmen wie Amazon, Macys, Dell oder BestBuy weiter. In einigen Fällen waren die Ziele der Links aber Websites, die Malware enthielten oder für Phishing-Kampagnen eingerichtet wurden. Kayak entdeckte die Plug-ins übrigens mit Hilfe von CRXcavator, einem Werkzeug zur Bewertung der Sicherheit von Chrome-Erweiterungen.
Routinesuche offenbarte Betrug
Dass die Betrugsmasche jetzt aufflog, ist im Grunde einem Zufall zu verdanken. Wie die Securityforscherin erklärte, erspähte sie die ersten Erweiterungen bei einem gewöhnlichen Routinescan. Duo Security stellte zudem fest, dass die Kampagne mindestens seit Januar 2019 läuft und von März bis Juni rasch zunahm. Aber: Die bislang unbekannten Cyberkriminellen waren möglicherweise über einen weitaus längeren Zeitraum aktiv – schätzungsweise sogar schon seit dem Jahr 2017.
Google fand noch mehr
Duo Security, eine Cisco-Tochtergesellschaft, identifizierte 71 Erweiterungen des Chrome-Webstores, die mehr als 1,7 Millionen Installationen verbuchten. Nachdem die Forscher ihre Ergebnisse an Google meldeten, wurden mehr als 430 zusätzliche Erweiterungen aufgespürt. Obwohl jedes der 500 Plug-ins unterschiedlich zu sein schien, enthielten alle einen nahezu identischen Quellcode. Eine Liste der betroffenen Add-ons ist im Duo-Bericht aufgeführt. Als Google die Erweiterungen aus dem offiziellen Webstore verbannte, deaktivierte der Browser-Anbieter die entsprechenden Plug-ins jedes Users und markierte die Erweiterung gleichzeitig als gefährlich.
Foto kalhh, thx!
Tarnkappe.info
