Gefährliche Chrome-Erweiterung

Es wurde versucht, beliebte Google Chrome-Erweiterungen zum heimlichen Abspielen von Videos in den Browsern der Benutzer zu verwenden, um die Anzahl der Aufrufe zu erhöhen.

Vor einigen Tagen begannen unsere Lösungen, vielen Google Chrome-Benutzern wiederholte Threat-Warnungen zu geben. Als Quelle der Bedrohung wurde Trojan.Multi.Preqw.gen angegeben, den Chrome von einer Drittanbieter-Website herunterzuladen versuchte. Wir erklären, was es damit auf sich hat und wie Sie das Problem lösen können.

Schädliche Erweiterungen

Unsere Experten haben in Zusammenarbeit mit ihren Kollegen bei Yandex entdeckt, dass einige Täter mehr als zwanzig Browser-Erweiterungen missbraucht haben, um Chrome auf den Computern der Benutzer für sich arbeiten zu lassen. Zu den Erweiterungen, die dazu gebracht wurden, schädliche Aktivitäten auszuführen, gehörten ein paar ziemlich beliebte Erweiterungen: Frigate Light, Frigate CDN und SaveFrom.

Diese in den Browsern von mehr als 8 Millionen Anwendern installierten Erweiterungen griffen im Hintergrund auf einen Remote-Server zu und versuchten, bösartigen Code herunterzuladen – ein Vorgang, der von unseren Sicherheitslösungen als gefährlich erkannt wird.

Was führen die Angreifer im Schilde, und wie bedrohen sie die Anwender?

Die Angreifer waren daran interessiert, Traffic für Videos zu generieren. Mit anderen Worten: Die Erweiterungen spielten heimlich bestimmte Videos im Browser des Benutzers ab, um die Anzahl der Aufrufe auf Streaming-Seiten zu erhöhen.

Der unsichtbare Videoplayer wurde nur dann aktiviert, wenn der Benutzer tatsächlich surfte, sodass die unvermeidliche Verlangsamung des Computers auf die übliche Verzögerung von Chrome unter starker Auslastung zurückgeführt werden konnte.

Gemäß unseren Kollegen bei Yandex, konnten die Benutzer einiger Erweiterungen gelegentlich den Ton der Videos hören, die im Hintergrund abgespielt wurden.

Außerdem fingen die bösartigen Plug-ins den Zugriff auf ein soziales Netzwerk ab, wahrscheinlich um später die Anzahl der Likes aufzublähen. Aber unabhängig von den eigentlichen Zielen ist ein kompromittiertes Social-Media-Konto etwas, das man lieber vermeiden möchte.

Was kann man dagegen tun?

Falls Ihre Sicherheitslösung anfängt, Bedrohungen in Google Chrome oder einem anderen Chromium-basierten Browser zu erkennen, müssen Sie als erstes die bösartigen Plug-ins deaktivieren, da die Sicherheitsanwendung auf diese reagiert. Falls Sie sich nicht sicher sind, welches der Plug-ins gefährlich ist, versuchen Sie, sie nacheinander zu deaktivieren, bis Sie das/die richtige(n) Plug-in(s) gefunden haben.

Yandex hat seinerseits eine Reihe von Erweiterungen in seinem Yandex.Browser (der ebenfalls auf Chromium basiert) automatisch deaktiviert und sucht weiterhin nach anderen Plug-ins, die eine Bedrohung darstellen.

Falls Sie noch keine Kaspersky-Produkte verwenden, aber vermuten, dass sich eine gefährliche Anwendung auf dem Rechner befindet, kann es sinnvoll sein, eine unserer Lösungen für Privatanwender zu installieren. Außerdem ist es in jedem Fall sinnvoll, das zu tun.

Tipps

Router-Schutz für MikroTik-Benutzer

Aktualisieren Sie RouterOS des MikroTik-Routers und überprüfen Sie die Einstellungen, um sich vor dem Botnet Mēris zu schützen und ggf. Malware von einem bereits infizierten Router zu entfernen.