Die versteckte Gefahr von Browsererweiterungen

Am Beispiel der häufigsten Familien schädlicher Browsererweiterungen erklären wir, was nach der Installation eines Browser-Plug-ins schiefgehen kann.

Wir alle haben vermutlich schon einmal Browsererweiterungen wie Ad-Blocker, Online-Übersetzer oder Erweiterungen zur Rechtschreib- oder Stilprüfung installiert. Aber nur wenige von uns stellen sich die Frage, wie sicher die kleinen Helfer überhaupt sind. Leider können diese scheinbar harmlosen Apps viel gefährlicher sein, als sie auf den ersten Blick scheinen mögen. In diesem Beitrag möchten wir deshalb anhand unseres aktuellen Expertenberichts genauer darauf eingehen, was mit Browsererweiterungen schiefgehen kann.

 

Was sind Browsererweiterungen und wie funktionieren sie?

Beginnen wir mit der grundlegenden Definition und der Ursache des Problems. Eine Browsererweiterung ist ein Plug-in, das Ihren Browser um bestimmte Funktionen erweitert. Die Add-ons können zum Beispiel Werbung auf Webseiten blockieren, Notizen erstellen die Rechtschreibung überprüfen und vieles mehr. Für gängige Browser gibt es offizielle Stores für Browsererweiterungen, die bei der Auswahl, dem Vergleich und der Installation der gewünschten Plug-ins helfen. Erweiterungen können aber auch aus inoffiziellen Quellen installiert werden.

Damit sie ordnungsgemäß funktionieren, müssen Erweiterungen die Berechtigung zum Lesen und Ändern des Inhalts von Webseiten haben, die im Browser angezeigt werden. Ohne diesen Zugriff ist jede Browsererweiterung vermutlich vollkommen nutzlos.

Übrigens beanspruchen Erweiterungen für Google Chrome die Fähigkeit, alle Daten von den von Ihnen besuchten Websites zu lesen und zu ändern. Ziemlich verrückt, oder? Dennoch schenken selbst offizielle Stores all dem wenig Beachtung.

Im offiziellen Chrome Web Store wird beispielsweise im Abschnitt Umgang mit dem Datenschutz der beliebten Google Translate-Erweiterung darauf hingewiesen, dass sie Informationen über den Standort, die Nutzeraktivitäten und den Inhalt von Websites sammelt. Die kleine, aber feine Tatsache, dass sie Zugang zu allen Daten von allen Websites benötigt, um zu funktionieren, wird dem Nutzer jedoch erst bei der Installation der Erweiterung mitgeteilt.

Die Erweiterung Google Translate möchte „alle deine Daten auf allen Websites lesen und ändern

 

Viele, wenn nicht sogar die meisten Nutzer werden diese Meldung wahrscheinlich nicht einmal lesen und automatisch auf Erweiterung hinzufügen klicken, um das Plug-in sofort zu verwenden. All dies bietet Cyberkriminellen die Möglichkeit, unter dem Deckmantel scheinbar harmloser Erweiterungen Adware und sogar Malware zu verbreiten.

Im Falle von Adware-Erweiterungen, ermöglicht ihnen die Zustimmung, den angezeigten Inhalt zu ändern, Werbung auf den von Ihnen besuchten Websites zu schalten. In diesem Fall verdienen die Entwickler der Erweiterungen Geld, wenn die Nutzer auf bestimmte Affiliate-Links zu Websites von Werbetreibenden klicken. Um den Inhalt der Anzeigen zielgerichteter zu gestalten, können sie darüber hinaus Ihre Suchanfragen und andere Daten analysieren.

Noch schlimmer sieht es bei schädlichen Erweiterungen aus. Durch den Zugriff auf den Inhalt aller besuchten Websites können Angreifer Kartendaten, Cookies und andere sensible Informationen entwenden. Hier einige Beispiele:

 

Betrüger-Tools für Office-Dateien

In den letzten Jahren haben Cyberkriminelle aktiv bösartige WebSearch-Adware-Erweiterungen verbreitet. Getarnt sind diese in der Regel als hilfreiche Tools für Office-Dateien, zum Beispiel um Word- in PDF-Dateien zu konvertieren.

Viele von ihnen führen sogar die von ihnen angegebene Funktion aus. Nach der Installation ersetzen sie jedoch die übliche Browserstartseite durch eine Mini-Site mit einer Suchleiste und getrackten Affiliate-Links zu Drittanbieter-Ressourcen, wie AliExpress oder Farfetch.

Browserstartseite nach dem Download einer Erweiterung der WebSearch-Familie

 

Sobald die Erweiterung installiert ist, ändert sie auch die Standardsuchmaschine in search.myway. Auf diese Weise können Cyberkriminelle die Suchanfragen der Nutzer speichern und analysieren und sie mit relevanteren Links, die auf ihre Interessen und Bedürfnisse zugeschnitten sind, überhäufen.

Derzeit sind WebSearch-Erweiterungen nicht mehr im offiziellen Chrome-Store erhältlich, können aber immer noch über Drittanbieterquellen heruntergeladen werden.

 

Lästiges Adware-Add-on

Adware-Erweiterungen der DealPly-Familie schleichen sich in der Regel zusammen mit raubkopierten Inhalten, die von dubiosen Websites heruntergeladen wurden, auf die Computer der Benutzer. Ihre Funktionsweise ist ähnlich wie die der WebSearch-Plug-ins.

Auch DealPly-Erweiterungen ersetzen die Browserstartseite durch eine Mini-Site mit Affiliate-Links zu beliebten digitalen Plattformen sowie die Standardsuchmaschine und analysieren die Suchanfragen der Benutzer, um personalisierte Werbeanzeigen zu schalten.

Browserstartseite nach dem Download einer Erweiterung der DealPly-Familie

 

Darüber hinaus sind Mitglieder der DealPly-Familie extrem schwer wieder loszuwerden. Selbst wenn der Benutzer die Adware-Erweiterung entfernt, wird sie jedes Mal, wenn der Browser geöffnet wird, erneut auf dem Gerät installiert.

 

AddScript verteilt ungewollte Cookies

Erweiterungen, die zur AddScript-Familie gehören, tarnen sich oft als Download-Tool von Musik und Videos aus sozialen Netzwerken oder als Proxy-Server-Manager. Neben dieser Funktionalität infizieren sie jedoch das Gerät des Opfers mit Schadcode. Letzterer wird dann von den Angreifern genutzt, um im Hintergrund unbemerkt Videos anzusehen und folglich an der gesteigerten Anzahl der Aufrufe zu verdienen.

Eine weitere Einnahmequelle für Cyberkriminelle ist der Download von Cookies auf das Gerät des Opfers. Im Allgemeinen werden Cookies beim Besuch einer Website auf dem Gerät des Nutzers gespeichert und können als eine Art digitale Markierung verwendet werden. Normalerweise versprechen Affiliate-Websites, Kunden auf eine legitime Website zu leiten. Um dies zu erreichen, locken sie Nutzer zunächst auf ihre eigene Website, die im Normalfall mit interessanten oder nützlichen Inhalten versehen ist. Dann speichern sie ein Cookie auf dem Computer des Nutzers und leiten ihn mit einem Link auf die eigentliche Zielseite weiter. Anhand dieses Cookies erkennt die Website dann, woher der Neukunde stammt, und zahlt dem Partner eine Gebühr – manchmal für die Weiterleitung selbst, für eine bestimmte Aktion, z. B. die Registrierung, o. Ä.

Die Entwickler von AddScript nutzen eine schädliche Erweiterung, um genau dieses Verfahren zu missbrauchen. Anstatt authentische Website-Besucher an Partner weiterzuleiten, laden sie mehrere Cookies auf die infizierten Geräte herunter. Diese Cookies dienen den Betrügern dann als „Markierung“ und die AddScript-Betreiber erhalten im Gegenzug eine Provision. Doch in Wirklichkeit werben sie überhaupt keine Neukunden an, und ihre „Partner“-Aktivität besteht lediglich darin, Computer mit schädlichen Erweiterungen zu infizieren.

 

FB Stealer — ein Cookie-Dieb

FB-Stealer, eine weitere Familie schädlicher Browsererweiterungen, funktioniert anders. Anders als AddScript, laden Mitglieder dieser Familie keine „Extras“ auf das infizierte Geräte, sondern stehlen wichtige Cookies. Funktionieren tut dies folgendermaßen.

Die FB-Stealer-Erweiterung bahnt sich gemeinsam mit dem Trojaner NullMixer, den sich Nutzer häufig beim Download gehackter Software-Installer einfangen, ihren Weg auf das Gerät des Opfers. Nach der Installation modifiziert der Trojaner die Datei, die zur Speicherung der Chrome-Einstellungen genutzt wird.

Nach erfolgreicher Aktivierung gibt FB Stealer vor, die Google-Translate-Erweiterung zu sein, damit Nutzer ihr Schutzschild ablegen. Die Erweiterung sieht sehr überzeugend aus. Der einzige Nachteil für die Angreifer ist die Browser-Warnung, dass der offizielle Store über keine Informationen über die Erweiterung verfügt.

Browser-Warnung, dass der offizielle Store keine Informationen über die Erweiterung enthält

 

Mitglieder dieser Familie ersetzen ebenfalls die Standardsuchmaschine des Browsers, aber das ist definitiv nicht das Schlimmste an diesen Erweiterungen. Die Hauptfunktion von FB Stealer besteht darin, Sitzungscookies von Nutzern des weltweit größten sozialen Netzwerks zu stehlen, daher auch der Name. Hierbei handelt es sich um eben die Cookies, die es Ihnen ermöglichen, eine erneute Anmeldung bei jedem Websitebesuch zu umgehen – und sie öffnen Angreifern ohne jegliches Passwort Tür und Tor. Nachdem Kriminelle auf diese Weise ein Konto gehijackt haben, können sie dann z. B. Freunde und Verwandte des Opfers anschreiben und diese um Geld bitten.

 

So schützen Sie sich

Browser-Erweiterungen sind nützliche Tools, die dennoch mit Vorsicht zu behandeln sind. Oftmals sind sie nämlich nicht so harmlos, wie sie auf den ersten Blick scheinen. Daher empfehlen wir Ihnen folgende Sicherheitsmaßnahmen:

  • Laden Sie Erweiterungen nur aus offiziellen Quellen herunter. Bedenken Sie jedoch auch, dass dies keine 100%-ige Sicherheitsgarantie ist – schädliche Erweiterungen schleichen sich dennoch hin und wieder in offizielle Stores. Trotzdem: Offizielle Plattformen kümmern sich normalerweise um die Sicherheit der Nutzer und schaffen es im Normalfall, bösartige Erweiterungen schnell zu entfernen.
  • Installieren Sie nicht zu viele Erweiterungen und überprüfen Sie die Liste der Plug-ins regelmäßig. Erweiterungen, die nicht von Ihnen persönlich installiert wurden, sollten sofort alle Alarmglocken schrillen lassen.
  • Verwenden Sie eine zuverlässige Sicherheitslösung.

 

Tipps