Neue Chrome Erweiterung gefunden, die Deine Webseiten verschönert? Schau mal genauer hin. Cyberkriminelle verdienen gerade Geld an Dir.
Unter dem Vorwand, Webseiten verschönern zu wollen, haben Cyberkriminelle eine Kampagne gestartet, durch die sie anhand von Chrome Extensions nicht nur Affiliate-Provisionen einstreichen. Potenziell können sie damit auch massenhaft Anmeldeinformationen abgreifen. Die betroffenen Browsererweiterungen sind bereits auf Millionen von Geräten installiert.
Chrome Extensions wollen Webseiten verschönern
Sicherheitsforscher von Guardio haben eine neue Kampagne aufgedeckt, die Erweiterungen für Googles Chrome-Browser mit Millionen aktiver Installationen umfasst. Dabei laden die Extensions den tatsächlichen Schadcode erst nach der Installation nach, um vorerst unentdeckt zu bleiben. Sie nehmen mitunter Such- und Browsing-Daten ihrer Opfer ins Visier und bieten das Potenzial, durch Spear-Phishing auch Anmeldeinformationen abzugreifen.
„Dormant Colors“ („Ruhende Farben„) ist der Name der entdeckten Kampagne. Und das nicht ohne Grund. So geben die 30 Varianten, die die Guardio-Forscher entdeckten, alle vor, optische Anpassungen zu bieten. Meistens im farblichen Bereich. Und das zeigt sich auch an den Namen der Erweiterungen, die in fast allen Fällen die Begriffe „color“ oder „style“ enthalten.
„Diese Kampagne gibt es schon seit einiger Zeit, und einige Varianten dieser Erweiterungen wurden bereits in der Vergangenheit als potenziell schädlich eingestuft – dennoch läuft diese Kampagne weiter auf Hochtouren, wobei viele Varianten derzeit sowohl in den Edge- als auch in den Chrome-Stores verfügbar sind, was zu Millionen von derzeit aktiven Installationen weltweit führt!“
Guardio Bericht
Auf den ersten Blick sieht alles harmlos aus
Auf den ersten Blick in den Quellcode erscheinen die Chrome Erweiterungen ganz harmlos und enthalten tatsächlich farb- und stilbezogene Funktionen. Doch der Einsatz sogenannter Stealth-Module erlaubt es ihnen, ihren Code im Hintergrund zu aktualisieren. Mithilfe einer Server-Infrastruktur sammeln die Angreifer Telemetriedaten, die es ihnen daraufhin ermöglichen, gezielte Social-Engineering-Angriffe durchzuführen und somit Zugangsdaten zu erbeuten.
Dabei haben es die Cyberkriminellen nicht nur auf Einzelpersonen abgesehen, sondern auch auf Unternehmen. Gerade diese sind laut dem Guardio-Bericht besonders gefährdet, da oftmals nur der Computer eines einzigen Mitarbeiters infiziert sein muss, um Zugang zum ganzen Unternehmensnetzwerk zu erhalten.
Genauer hinzusehen lohnt sich bei diesen Chrome Erweiterungen
Wie die bösartigen Chrome Extensions sich verbreiten, zeigen die Sicherheitsforscher anhand eines kurzen Videos:
Nach der Installation taucht ein neuer Tab mit einer „Danke„-Seite im Browser auf, die schließlich zu einer anderen Werbung weiterleitet. Doch was zunächst harmlos erscheint, stellt eine echte Gefahr dar. Denn während dieses Vorganges lädt die Erweiterung einige bösartige Skripte und eine Liste von mehr als 10.000 Domänen nach.
Das erlaubt es den Angreifern schließlich, dem Anwender andere Inhalte anzuzeigen, als er ursprünglich erwartet hatte. Die Forscher demonstrieren beispielsweise anhand eines kurzen Videos, wie eine Suchanfrage bei Google letztendlich zu einer gefälschten Ergebnisseite unter der Domain „websearches.club“ führt.
Darüber werden Anwender schließlich auf weitere gefälschte Webseiten gelockt, die ihrerseits beispielsweise unter Verwendung von Affiliate-Links wieder zur gewünschten Webseite umleiten. Wer also nach „Amazon“ sucht und daraufhin etwas bestellt, spült den Angreifern möglicherweise eine Provision in die Tasche. Und das ist nicht der erste Fall, in dem es Chrome Extensions auf eine Affiliate-Provision abgesehen haben.
Die Sicherheitsforscher warnen jedoch davor, dass sich durch diese Masche auch gefälschte Login-Seiten anzeigen lassen, um in großem Stil Anmeldeinformationen abzugreifen. Außerdem sei erwähnenswert, dass die „Technik der Code-Injektion eine umfangreiche Infrastruktur zur Eindämmung und Umgehung darstellt und es ermöglicht, die Kampagne in Zukunft für noch mehr bösartige Aktivitäten zu nutzen.„
„Keine Erweiterung, die eine gut aussehende Website dunkel und hässlich aussehen lässt, ist es wert…„, schließen die Forscher aus ihren Erkenntnissen.