Kaum eine Sicherheitssoftware erkennt die bei über 200.000 Roblox-Gamern installierte Malware, die auch Vermögenswerte von Rolimon's abräumt.
Zwei Chrome-Erweiterungen mit dem Namen „SearchBlox“ enthalten eine Backdoor, durch die Angreifer Zugangsdaten zur beliebten Online-Spiele-Plattform Roblox sowie Vermögenswerte auf der Handelsplattform Rolimons stehlen können. Sicherheitsprogramme sind zum Großteil noch blind für diesen Angriff. Gamer sollten daher wachsam bleiben, zumal sich Roblox primär an ein sehr junges Publikum wendet.
Zwei Browsererweiterungen verschaffen ihrem Entwickler Roblox-Zugangsdaten
Laut BleepingComputer gab es im Chrome Web Store bis vor Kurzem zwei Suchergebnisse für „SearchBlox„, die beide mit der Backdoor ausgestattet waren. Sie warben damit, die Roblox-Server nach einem gewünschten Spieler zu durchsuchen.
Ein inoffizieller Roblox-Nachrichten-Account machte die Community via Twitter auf die Gefahr aufmerksam.
Die IDs der beiden schadhaften Browsererweiterungen sind:
- blddohgncmehcepnokognejaaahehncd (über 200.000 Downloads)
- ccjalhebkdogpobnbdhfpincfeohonni (959 Downloads)
Wer eine dieser beiden Chrome-Extensions installiert hat, sollte diese demnach schleunigst entfernen und sein Passwort für den Zugriff auf Roblox ändern. Aber auch die Änderung von Passwörtern anderer genutzter Anwendungen kann in diesem Zusammenhang sicher nicht schaden.
Roblox-Anmeldeinformationen fließen an eine neu registrierte Domain
Beide Erweiterungen laden offenbar eine „image.txt“ nach, die den HTML-Tag IMG enthält. Dort ist ein Eventhandler registriert, der im Falle eines absichtlich herbeigerufenen Fehlers durch HTML-Entities codierten JavaScript-Code ausführt.
Eine Codeanalyse durch das Team von BleepingComputer hat ergeben, dass dieser Code Roblox-Anmeldeinformationen an die Domain „releasethen.site“ übermittelt. Außerdem scheint er das Profil des Gamers auf Rolimons.com zu überwachen.
Eine Registrierung der involvierten Domains „searchblox.site“ und „releasethen.site“ erfolgte offenbar erst diesen Monat beim gleichen Webhoster namens Hostinger.
Die meisten Sicherheitsprogramme sind blind für diesen Angriff
Ob der Entwickler der Extensions die Hintertür absichtlich einbaute oder dies Folge einer Kompromittierung ist, ist noch unklar. Spekulationen innerhalb der Roblox-Community deuten jedoch auf ersteren Fall hin. Denn das Spielinventar des Benutzers „Unstoppablelucent„, der angeblich der Urheber der Erweiterungen ist, hat sich scheinbar über Nacht vervielfacht.
Die wenigsten Sicherheitsprogramme erkennen bisher die schadhaften Erweiterungen oder die für den Angriff genutzten URLs.
Infolge der Berichterstattung und einer Information durch BleepingComputer hat Google die betroffenen Extensions aus dem Chrome Web Store entfernt und blockiert. Damit sollten diese im Laufe der Zeit auch automatisch von den Systemen der Anwender verschwinden.