Chrome-Erweiterung ermöglicht Datendiebstahl

7 Jun 2018

Inhaber von Software-Stores (Google, Apple, Amazon, u. a.) müssen Malware genau so intensiv bekämpfen wie Anbieter von Sicherheitslösungen. Leider handelt es sich hierbei um einen Prozess in der Endlosschleife: Cyberkriminelle schreiben Malware, die über Online-Stores verbreitet wird. Gelangt der Zwischenfall erst einmal an die Öffentlichkeit, wird der Name des Stores bekannt gegeben und von jedermann zerpflückt. Daraufhin werden die Sicherheitsrichtlinien aktualisiert, um mögliche Wiederholungen zu vermeiden, bis Cyberkriminelle eine Alternative finden, sich erneut in den Store einzuschleusen.

malicious-chrome-extension

Natürlich empfehlen wir allen Nutzern, ausschließlich Apps von offiziellen Quellen zu installieren; das bedeutet aber nicht, dass diese Seiten frei von Malware sind. Und obwohl Google Play als relativ sicher eingestuft werden kann, spielt der Chrome Web Store in einer anderen Liga. Unsere Experten von Kaspersky Lab haben kürzlich eine bösartige Erweiterung entdeckt, die es auf Bankdaten von Nutzern abgesehen hat.

Banking-Trojaner im Browser

Bei dem Übeltäter handelte es sich um eine Erweiterung mit dem Namen „Desbloquear Conteúdo“ (portugiesisch für „Inhalte freigeben“), die im Wesentlichen einen Man-in-the-Middle-Angriff ausführte. Beim Besuch der Bank-Website, wurde der Datenverkehr mithilfe eines bösartigen Skripts über einen Proxy-Server der Cyberkriminellen umgeleitet.

Darüber hinaus enthielt die Malware Skripte, die darauf ausgerichtet waren, spezifische von Benutzern online eingegebene Informationen zu extrahieren. Beim Aufruf der Login-Website der Bank, behalf sich die Malware mit einem Screen-Overlay, das perfekt auf die Benutzeroberfläche der Bank abgestimmt war, aber die Felder für Login, Passwort und Bestätigungscode durch ihre eigenen ersetzte. Beim Klick auf die Login-Schaltfläche, wurden alle Daten von der Malware kopiert.

Die Domain, auf der der betrügerische C&C-Server lokalisiert wurde, verwendete die gleiche IP-Adresse wie andere zuvor als bösartig eingestufte Domains – einer der Gründe, weshalb unsere Forscher auf die Betrugsmasche aufmerksam geworden sind.  Nachdem ihr Verdacht bestätigt wurde, haben unsere Experten Google umgehend kontaktiert und die Malware wurde schnellstmöglich aus dem Chrome Web Store entfernt.

Bitte denken Sie daran, dass Chrome-Erweiterungen während der Installation Zugriffsberechtigungen anfordern, die ihnen auf Ihrem Computer oft nahezu unbegrenzte Möglichkeiten bieten. Die meisten bösartigen Programme benötigen allerdings nur eine einzige Berechtigung, um ihr Unwesen zu treiben: „Alle ihre Daten auf von Ihnen besuchten Websites lesen und ändern“.

Behandeln Sie Erweiterungen also mit äußerster Vorsicht – sie sind nicht unbedingt harmlos, obwohl sie oftmals so einfach zu installieren sind, dass man davon ausgehen könnte, dass sie keiner Fliege etwas zuleide tun könnten.

Augen auf bei Browser-Erweiterungen

So schützen Sie sich vor bösartigen Browser-Erweiterungen

Mit diesen Tipps können Sie Malware, die sich als nützliche Browsererweiterung tarnt, abwehren:

  • Installieren Sie nur Erweiterungen, denen Sie voll und ganz vertrauen.
  • Installieren Sie keine zusätzlichen Erweiterungen, wenn Sie diese nicht wirklich benötigen.
  • Wenn Sie eine Erweiterung nicht mehr benötigen, sollten Sie diese entfernen.
  • Verwenden Sie eine bewährte und vertrauenswürdige Sicherheitslösung wie Kaspersky Internet Security. Alle neuen Chrome-Erweiterungen werden automatisch zur Analyse an uns geschickt, sodass sich Malware auch nicht in den neuesten Erweiterungen verstecken kann.