Gefährliche Browser-Erweiterungen

Wir haben in unserem Blog schon häufig berichtet, dass Browser-Erweiterungen sehr gefährlich sein können. Dieses Thema wollen wir mit einem extra Artikel veranschaulichen. In diesem Artikel erzählen wir von den interessantesten, ungewöhnlichsten, häufigsten und gefährlichsten Fällen mit bösartigen Erweiterungen im Jahr 2023. Wir besprechen auch, was diese Erweiterungen angerichtet haben, und natürlich, wie Sie sich davor schützen können.

Roblox-Erweiterungen mit Hintertür

Beginnen wir mit einer Geschichte, die schon im vergangenen Jahr ihren Anfang nahm und eines der größten Probleme mit gefährlichen Erweiterungen verdeutlicht. Im November 2022 wurden im Chrome Web Store, dem offiziellen Store für Google Chrome-Browser-Erweiterungen, zwei bösartige Erweiterungen mit demselben Namen gefunden – SearchBlox. Eine dieser Erweiterungen wurde mehr als 200.000 Mal heruntergeladen.

Laut Beschreibung dienten die Erweiterungen dazu, auf den Roblox-Servern nach einem bestimmten Gamer zu suchen. Der eigentliche Zweck bestand jedoch darin, die Konten von Roblox-Spielern zu kapern und deren In-Game-Daten zu stehlen. Nachdem BleepingComputer über diese bösartigen Erweiterungen berichtet hatte, wurden sie aus dem Chrome Web Store entfernt und automatisch von den Geräten der Nutzer gelöscht, auf denen sie installiert waren.

Bösartige SearchBlox-Erweiterungen wurden im Google Chrome Web Store veröffentlicht und kaperten die Benutzerkonten von Roblox-Spielern. Quelle

Die Roblox-Story geht jedoch noch weiter. Im August 2023 wurden im Chrome Web Store zwei weitere bösartige Erweiterungen ähnlicher Art entdeckt – RoFinder und RoTracker. Genau wie SearchBlox boten diese Plug-ins den Nutzern die Möglichkeit, auf den Roblox-Servern nach anderen Gamern zu suchen, besaßen aber in Wirklichkeit eine Backdoor. Nach einigen Anstrengungen gelang es der Roblox-Community, dass auch diese Erweiterungen aus dem Store entfernt wurden.

Die bösartige Erweiterung „RoTracker“, die ebenfalls im Google Chrome Web Store angeboten wurde. Quelle

Dies deutet darauf hin, dass die Qualität der Moderation auf der weltweit „offiziellsten“ Plattform für Google Chrome-Erweiterungen zu wünschen übrig lässt. Offenbar ist es für Entwickler bösartiger Erweiterungen gar nicht so schwierig, ihre Apps dort einzuschleusen. Damit Moderatoren auf gefährliche Erweiterungen aufmerksam werden und sie aus dem Store entfernen, sind die Rezensionen betroffener Nutzer selten ausreichend. Häufig sind dafür Berichte in Medien sowie Bemühungen von Sicherheitsforschern und einer großen Online-Community erforderlich.

Gefälschte ChatGPT-Erweiterungen kapern Facebook-Konten

Im März 2023 wurden im Google Chrome Web Store innerhalb weniger Tage zwei bösartige Erweiterungen gefunden – beide nutzten den Hype um den KI-Dienst ChatGPT aus. Eine davon war eine infizierte Kopie der echten Erweiterung „ChatGPT for Google“, die ChatGPT-Antworten in Suchmaschinenergebnisse integrieren kann.

Die infizierte Erweiterung „ChatGPT for Google“ wurde am 14. Februar 2023 in den Chrome Web Store hochgeladen. Die Schöpfer warteten exakt einen Monat und begannen am 14. März 2023 die Erweiterung aktiv zu verbreiten. Dazu nutzten sie Anzeigen in der Google Suche. Die Kriminellen konnten täglich etwa tausend neue Nutzer anziehen. Als die Bedrohung entdeckt wurde, waren es bereits über 9.000 Downloads.

Die infizierte Version von „ChatGPT for Google“ sah dem Original täuschend ähnlich. Quelle

Die Trojaner-Kopie von „ChatGPT for Google“ funktionierte genauso wie die echte Version, verfügte jedoch über bösartige Funktionen: Die infizierte Version enthielt zusätzlichen Code, mit dem die im Browser gespeicherten Cookies für Facebook-Sitzungen gestohlen wurden. Mithilfe dieser Dateien konnten die Angreifer die Facebook-Konten der Nutzer kapern, auf deren Geräten die infizierte Erweiterung installiert war.

Die kompromittierten Konten wurden dann für illegale Zwecke genutzt. Als Beispiel nannten die Forscher das Facebook-Konto eines Wohnmobilherstellers, das nach der Übernahme für die terroristische Vereinigung ISIS warb.

Nach der Übernahme begann das Facebook-Konto, für ISIS-Inhalte zu werben. Quelle

Im anderen Fall erstellten Betrüger die völlig neue Erweiterung „Quick access to Chat GPT“. Die Erweiterung hielt tatsächlich, was sie versprach, und vermittelte mithilfe der offiziellen API des KI-Chatbots zwischen Nutzern und ChatGPT. In Wirklichkeit hatte es die Erweiterung jedoch auf Facebook-Sitzungs-Cookies abgesehen, um dann Facebook-Geschäftskonten zu kapern.

Die bösartige Erweiterung „Quick access to Chat GPT“. Quelle

Besonders interessant war aber, wie die Täter Werbung für diese bösartige Erweiterung machten. Sie verwendeten Facebook-Werbeanzeigen und bezahlten diese über bereits gekaperte Geschäftskonten! Mit diesem ausgeklügelten Schema konnten die Entwickler von „Quick access to Chat GPT“ täglich mehrere Tausend neue Nutzer gewinnen. Schließlich wurden auch diese beiden bösartigen Erweiterungen aus dem Store entfernt.

ChromeLoader: Raubkopien mit bösartigen Erweiterungen

Häufig platzieren die Autoren bösartiger Erweiterungen diese nicht im Google Chrome Web Store, sondern verteilen sie auf andere Weise. So stießen Forscher beispielsweise Anfang des Jahres auf eine neue bösartige Kampagne. Sie hing mit der im Bereich der Cybersicherheit bereits bekannten Malware ChromeLoader zusammen. Der eigentliche Zweck dieses Trojaners war es, eine bösartige Erweiterung im Browser des Opfers zu installieren.

Diese Erweiterung wiederum zeigt im Browser aufdringliche Werbung an und manipuliert Suchergebnisse durch Links, die zu gefälschten Werbegeschenken, Umfragen, Dating-Websites, Spielen für Erwachsene oder unerwünschter Software führen.

In diesem Jahr nutzten Angreifer verschiedene Raubkopien als Köder, um die Opfer zur Installation von ChromeLoader zu bewegen. Im Februar 2023 berichteten Forscher beispielsweise, dass ChromeLoader über VHD-Dateien (ein Format für Disk-Images) verbreitet wurden. Dazu waren die Dateien als gehackte Spiele oder „Cracks“ für Spiele getarnt. Die Kriminellen verwendeten unter anderem die Spiele Elden Ring, ROBLOX, Dark Souls 3, Red Dead Redemption 2, Need for Speed, Call of Duty, Portal 2, Minecraft, Legend of Zelda, Pokemon, Mario Kart und Animal Crossing. Und natürlich enthielten alle angebotenen VHD-Dateien einen Installer für die bösartige Erweiterung.

Einige Monate später, im Juni 2023, veröffentlichte ein anderes Forscherteam einen ausführlichen Bericht über die Aktivitäten von ChromeLoader. Demnach erfolgte die Verbreitung über ein Netzwerk von Websites, die raubkopierte Musik, Filme und auch hier wieder Computerspiele anboten. Anstelle von Originalinhalten wurden bei dieser Kampagne VBScript-Dateien auf die Computer der Opfer heruntergeladen, die anschließend die bösartige Browser-Erweiterung nachluden und installierten.

Eine der Websites, auf denen die ChromeLoader-Malware unter dem Deckmantel raubkopierter Inhalte verbreitet wurde. Quelle

Aufgrund der veränderten Suchergebnisse bemerken die Opfer zwar schnell, dass es in ihrem Browser eine gefährliche Erweiterung gibt. Es ist jedoch nicht so einfach, diese wieder loszuwerden. Denn ChromeLoader installiert nicht nur die bösartige Erweiterung, sondern fügt dem System auch Skripte und Aufgaben der Windows-Aufgabenplanung hinzu. Darum wird die Erweiterung bei jedem Neustart des Systems erneut installiert.

Hacker lesen Gmail-Korrespondenz mithilfe einer Spionage-Erweiterung

Im März 2023 veröffentlichten das Bundesamt für Verfassungsschutz und der südkoreanische National Intelligence Agency gemeinsam einen Bericht über die Aktivitäten der Hackergruppe Kimsuky. Diese Hacker verwenden eine infizierte Erweiterung für Chromium-basierte Browser – Google Chrome, Microsoft Edge sowie den südkoreanischen Browser Naver Whale –, um die Gmail-Korrespondenz ihrer Opfer zu lesen.

Der Angriff beginnt damit, dass die Täter E-Mails an ausgesuchte Zielpersonen senden. Die E-Mail enthält einen Link zu der bösartigen Erweiterung AF sowie einen Text, der das Opfer dazu verleitet, die Erweiterung zu installieren. Die Erweiterung beginnt ihr Werk, sobald das Opfer Gmail in einem Browser öffnet, in dem sie installiert ist. Anschließend sendet AF die Korrespondenz des Opfers automatisch an den Kontrollserver der Hacker.

Auf diese Weise erhält Kimsuky Zugriff auf den Postfachinhalt des Opfers. Die Kriminellen benötigen keinerlei schlaue Tricks, um das Postfach zu hacken. Sie umgehen einfach die Zwei-Faktor-Authentifizierung. Und noch ein Bonus: Diese Methode funktioniert höchst diskret – insbesondere verhindert sie, dass Google das Opfer über den Kontozugriff von einem neuen Gerät oder verdächtigen Ort warnt, wie es bei einem Passwortdiebstahl passieren würde.

Rilide: Eine schädliche Erweiterung stiehlt Kryptowährung und umgeht die Zwei-Faktor-Authentifizierung

Oft verwenden Kriminelle bösartige Erweiterungen auch, um Krypto-Wallets anzugreifen. Ein Beispiel ist die Erweiterung Rilide, die erstmals im April 2023 entdeckt wurde. Die Bösewichte verwenden sie, um die Browseraktivität infizierter Geräte im Hinblick auf Kryptowährungen zu verfolgen. Wenn das Opfer Websites aus einer bestimmten Liste besucht, stiehlt die bösartige Erweiterung Informationen über Krypto-Wallets, E-Mail-Logins und Passwörter.

Darüber hinaus sammelt und sendet diese Erweiterung den Browserverlauf an den Kontrollserver und ermöglicht den Angreifern, Screenshots zu erstellen. Am interessantesten ist jedoch, dass Rilide die Zwei-Faktor-Authentifizierung umgehen kann.

Wenn die Erweiterung erkennt, dass ein Nutzer im Begriff ist, eine Krypto-Transaktion über einen der Online-Dienste durchzuführen, fügt sie ein Skript in die Seite ein – dann wird der Eingabedialog für den Bestätigungscode ersetzt und der Code gestohlen. Das Wallet des Zahlungsempfängers wird durch ein Wallet des Angreifers ersetzt und die Erweiterung bestätigt die Transaktion anhand des gestohlenen Codes.

Wie die bösartige Rilide-Erweiterung auf X (Twitter) unter dem Deckmantel von Blockchain-Spielen beworben wurde. Quelle

Rilide hat es auf die Nutzer von Chromium-basierten Browsern abgesehen (Chrome, Edge, Brave und Opera). Damit kein Verdacht entsteht, wird eine legitime Google Drive-Erweiterung imitiert. Rilide wird frei auf dem illegalen Markt verkauft und wird daher von Kriminellen verwendet, die nichts miteinander zu tun haben. Aus diesem Grund wurden verschiedene Verbreitungsmethoden entdeckt – von bösartigen Websites und E-Mails bis hin zu infizierten Installationsprogrammen für Blockchain-Spiele, für die auf Twitter X geworben wird.

Eine besonders interessante Verbreitungsmethode von Rilide war eine irreführende PowerPoint-Präsentation. Diese Präsentation diente als Sicherheitsleitfaden für Zendesk-Mitarbeiter, war aber in Wirklichkeit eine Schritt-für-Schritt-Anleitung für die Installation der bösartigen Erweiterung.

Eine präzise Anleitung zur Installation der bösartigen Erweiterung, getarnt als Sicherheitspräsentation für Zendesk-Mitarbeiter. Quelle

Dutzende bösartige Erweiterungen im Chrome Web Store – mit insgesamt 87 Millionen Downloads

Und natürlich dürfen wir die Geschichte des Sommers nicht vergessen, als Forscher im Google Chrome Web Store mehrere Dutzend bösartige Erweiterungen entdeckten, die von dort zusammen mehr als 87 Millionen Mal heruntergeladen wurden. Dabei handelte es sich um verschiedene Arten von Browser-Plug-ins – von Tools zum Konvertieren von PDF-Dateien über Werbeblocker bis hin zu Übersetzungs- und VPN-Erweiterungen.

Die Erweiterungen wurden dem Chrome Web Store bereits 2022 und 2021 hinzugefügt. Als sie entdeckt wurden, waren sie also bereits seit mehreren Monaten, einem Jahr oder noch länger dort. In den Rezensionen gab es einige Beschwerden von aufmerksamen Nutzern, die davor warnten, dass die Erweiterungen die Adressen aus Suchergebnissen durch Werbelinks ersetzten. Leider wurden diese Hinweise von den Moderatoren des Chrome Web Store ignoriert. Die bösartigen Erweiterungen wurden erst aus dem Store verbannt, nachdem zwei Gruppen von Sicherheitsforschern Google auf das Problem hingewiesen hatten.

Die beliebteste der bösartigen Erweiterungen – Autoskip for YouTube – mit über 9 Millionen Downloads bei Google Chrome Web Store. Quelle

So schützen Sie sich vor bösartigen Erweiterungen

Wie Sie sehen, können gefährliche Browser-Erweiterungen aus verschiedenen Quellen auf Ihren Computer gelangen – auch über den offiziellen Google Chrome Web Store. Und Angreifer können mit Erweiterungen alles Mögliche anstellen – Konten übernehmen, Suchergebnisse manipulieren, Korrespondenz lesen und Kryptowährung stehlen. Darum sind entsprechende Vorkehrungen sehr wichtig:

• Installieren Sie keine unnötigen Browser-Erweiterungen. Je weniger Erweiterungen Sie in Ihrem Browser haben, desto besser.
• Wenn Sie eine Erweiterung installieren möchten, tun Sie dies über einen offiziellen Store und nicht über eine unbekannte Website. Dadurch lässt sich das Risiko, auf gefährliche Erweiterungen zu stoßen, zwar nicht vollständig ausschließen, aber zumindest nimmt der Google Chrome Web Store die Sicherheit ernst.
• Lesen Sie vor der Installation die Rezensionen über die Erweiterung. Wenn mit einer Erweiterung etwas nicht stimmt, ist es anderen Nutzern möglicherweise bereits aufgefallen und sie warnen davor.
• Überprüfen Sie regelmäßig die Liste der Erweiterungen, die in Ihren Browsern installiert sind. Entfernen Sie alle Erweiterungen, die Sie nicht verwenden – insbesondere solche, an deren Installation Sie sich nicht mehr erinnern können.
• Und verwenden Sie unbedingt einen zuverlässigen Schutz auf allen Ihren Geräten.