Mega: Chrome-Erweiterung des Sharehosters enthielt Malware

Die Chrome-Erweiterung des Filehosters Mega wurde gehackt. Die gehackte Version hat Passwort-Eingaben zahlreicher großer Seiten abgegriffen.

Virus, Alert, Chrome, Mega

Der Filehoster Mega hat am 4. September 2018 eine Sicherheitswarnung für Benutzer der MEGA Chrome-Erweiterung herausgegeben. Demnach hat ein unbekannter Angreifer eine mit Schadsoftware versehene Chrome-Erweiterung des Filehosters Mega, Version 3.39.4, in den Google Chrome-Webshop hochgeladen. Zudem hat sich die Trojaner-Ausgabe bei zahlreichen Nutzern via Auto-Update installiert. Der Angriff fand am Dienstag, dem 4. September, statt. Ab 16:30 Uhr war die Schad-Version 3.39.4 für fünf Stunden online.

MEGA: Plug-in für Chrome enthielt Malware

Die mit einem Trojaner verseuchte Chrome-Erweiterung forderte nach der Installation oder dem automatischen Update erweiterte Berechtigungen vom Nutzer ein hinsichtlich des Mitlesens und Ändern von Daten aller geöffneter Webseiten, die normalerweise nicht Bestandteil des Add-ons sind. Sobald man die Zustimmung für die Rechteübertragung gegeben hat, überträgt das Plug-in die Login-Daten der aufgerufenen Webseiten, wie Amazon, Microsoft, Github, Google und Bankingwebseiten.

Zudem wurden Aktivitäten auf den Wallet-Webseiten von MyEtherWallet, MyMonero und IDEX aufgezeichnet und an die Cyberkriminellen übertragen. Mega gab bekannt, dass die Hacker die auf diesem Weg erbeuteten Daten zu einem Server in der Ukraine geleitet hat. Gemäß Mega können alle Seiten oder Apps betroffen gewesen sein, auf denen Nutzer Zugangsdaten via Chrome während der Infektionsdauer eingegeben haben, die dann mittels eines HTTP-POST oder XMLHttpRequest übertragen wurden.


Verseuchte Erweiterung nur für vier Stunden aktiv

Bereits vier Stunden nach der Verletzung hat man die trojanische Erweiterung von MEGA durch eine saubere Version (3.39.5) aktualisiert. Diese hat die Schad-Variante bei den Nutzern bereits automatisch gesäubert. Google hat die bösartige Erweiterung fünf Stunden nach dem Verstoß aus dem Chrome-Webshop entfernt. User der Webseite „mega.nz“ und der Desktop-Version „MEGASync“ sind nicht betroffen.

Aufgedeckt wurde der Hackangriff durch den Sicherheitsforscher „SerHack“, der auf Twitter davor gewarnt hat. Jeder der die Chrome-Erweiterung in der besagten Zeitspanne heruntergeladen oder mit aktiver Auto-Update-Funktion genutzt hat, muss seine Zugangsdaten als kompromittiert betrachten. Opfer dieses Hackangriffs sollten dringend die Passwörter auf den in diesem Zeitfenster, seit dem 4. September, angesteuerten Webseiten ändern. Außerdem sollen die Nutzer Kreditkarten-Abrechnungen auf ungewöhnliche Vorkommnisse überprüfen. Zwar wurde durch die nur kurze Zeit später veröffentlichte Aktualisierung die Gefahr laut Hersteller gebannt, dennoch wären laut Bleeping Computer rund 1,6 Millionen User von dem Hack betroffen. Forscher haben auch die Firefox-Version von MEGA untersucht. Sie kamen zu dem Schluss, dass man diese nicht manipuliert hat.

Sicherheitsforscher SerHack entdeckte die Verseuchung

Fraglich ist, wie es den Hackern gelang, eine infizierte Version der Chrome-Erweiterung von MEGA in den Google Chrome-Webshop hochzuladen. Kritik übten daraufhin die Entwickler von Mega an der Verfahrensweise bei Google. Da Google keine Signaturen der Entwickler zulässt, könne man demnach auch nicht die Integrität von Erweiterungen bereits vor dem Upload überprüfen. Google signiert die Erweiterungen erst automatisiert nach dem Upload.

Foto TheDigitalArtist, thx! (CC0 1.0 PD)

Tarnkappe.info

Über den Autor

Antonia ist bereits seit Januar 2016 Autorin bei der Tarnkappe. Eingestiegen ist sie zunächst mit Buch-Rezensionen. Inzwischen schreibt sie bevorzugt über juristische Themen, wie P2P-Fälle, sie greift aber auch andere Netzthemen, wie Cybercrime, auf. Ihre Interessen beziehen sich hauptsächlich auf Literatur.