{"id":30774,"date":"2023-12-22T11:58:50","date_gmt":"2023-12-22T09:58:50","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=30774"},"modified":"2023-12-22T11:58:50","modified_gmt":"2023-12-22T09:58:50","slug":"dangerous-browser-extensions-2023","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/dangerous-browser-extensions-2023\/30774\/","title":{"rendered":"Gef\u00e4hrliche Browser-Erweiterungen"},"content":{"rendered":"

Wir haben in unserem Blog schon h\u00e4ufig berichtet, dass Browser-Erweiterungen sehr gef\u00e4hrlich sein k\u00f6nnen. Dieses Thema wollen wir mit einem extra Artikel veranschaulichen. In diesem Artikel erz\u00e4hlen wir von den interessantesten, ungew\u00f6hnlichsten, h\u00e4ufigsten und gef\u00e4hrlichsten F\u00e4llen mit b\u00f6sartigen Erweiterungen im Jahr 2023. Wir besprechen auch, was diese Erweiterungen angerichtet haben, und nat\u00fcrlich, wie Sie sich davor sch\u00fctzen k\u00f6nnen.<\/p>\n

Roblox-Erweiterungen mit Hintert\u00fcr<\/h2>\n

Beginnen wir mit einer Geschichte, die schon im vergangenen Jahr ihren Anfang nahm und eines der gr\u00f6\u00dften Probleme mit gef\u00e4hrlichen Erweiterungen verdeutlicht. Im November 2022 wurden im Chrome Web Store, dem offiziellen Store f\u00fcr Google Chrome-Browser-Erweiterungen, zwei b\u00f6sartige Erweiterungen mit demselben Namen gefunden<\/a> \u2013 SearchBlox. Eine dieser Erweiterungen wurde mehr als 200.000 Mal heruntergeladen.<\/p>\n

Laut Beschreibung dienten die Erweiterungen dazu, auf den Roblox-Servern nach einem bestimmten Gamer zu suchen. Der eigentliche Zweck bestand jedoch darin, die Konten von Roblox-Spielern zu kapern und deren In-Game-Daten zu stehlen. Nachdem BleepingComputer<\/a> \u00fcber diese b\u00f6sartigen Erweiterungen berichtet hatte, wurden sie aus dem Chrome Web Store entfernt und automatisch von den Ger\u00e4ten der Nutzer gel\u00f6scht, auf denen sie installiert waren.<\/p>\n

\"SearchBlox:<\/a>

B\u00f6sartige SearchBlox-Erweiterungen wurden im Google Chrome Web Store ver\u00f6ffentlicht und kaperten die Benutzerkonten von Roblox-Spielern. Quelle<\/a><\/p><\/div>\n

\u00a0<\/p>\n

Die Roblox-Story geht jedoch noch weiter. Im August 2023 wurden im Chrome Web Store zwei weitere b\u00f6sartige Erweiterungen \u00e4hnlicher Art entdeckt \u2013 RoFinder und RoTracker<\/a>. Genau wie SearchBlox boten diese Plug-ins den Nutzern die M\u00f6glichkeit, auf den Roblox-Servern nach anderen Gamern zu suchen, besa\u00dfen aber in Wirklichkeit eine Backdoor. Nach einigen Anstrengungen gelang es der Roblox-Community, dass auch diese Erweiterungen aus dem Store entfernt wurden.<\/p>\n

\"RoTracker:<\/a>

Die b\u00f6sartige Erweiterung \u201eRoTracker\u201c, die ebenfalls im Google Chrome Web Store angeboten wurde. Quelle<\/a><\/p><\/div>\n

\u00a0<\/p>\n

Dies deutet darauf hin, dass die Qualit\u00e4t der Moderation auf der weltweit \u201eoffiziellsten\u201c Plattform f\u00fcr Google Chrome-Erweiterungen zu w\u00fcnschen \u00fcbrig l\u00e4sst. Offenbar ist es f\u00fcr Entwickler b\u00f6sartiger Erweiterungen gar nicht so schwierig, ihre Apps dort einzuschleusen. Damit Moderatoren auf gef\u00e4hrliche Erweiterungen aufmerksam werden und sie aus dem Store entfernen, sind die Rezensionen betroffener Nutzer selten ausreichend. H\u00e4ufig sind daf\u00fcr Berichte in Medien sowie Bem\u00fchungen von Sicherheitsforschern und einer gro\u00dfen Online-Community erforderlich.<\/p>\n

Gef\u00e4lschte ChatGPT-Erweiterungen kapern Facebook-Konten<\/h2>\n

Im M\u00e4rz 2023 wurden im Google Chrome Web Store<\/a> innerhalb weniger Tage zwei b\u00f6sartige Erweiterungen<\/a> gefunden \u2013 beide nutzten den Hype um den KI-Dienst ChatGPT aus. Eine davon war eine infizierte Kopie der echten Erweiterung \u201eChatGPT for Google\u201c, die ChatGPT-Antworten in Suchmaschinenergebnisse integrieren kann.<\/p>\n

Die infizierte Erweiterung \u201eChatGPT for Google\u201c wurde am 14. Februar 2023 in den Chrome Web Store hochgeladen. Die Sch\u00f6pfer warteten exakt einen Monat und begannen am 14. M\u00e4rz 2023 die Erweiterung aktiv zu verbreiten. Dazu nutzten sie Anzeigen in der Google Suche. Die Kriminellen konnten t\u00e4glich etwa tausend neue Nutzer anziehen. Als die Bedrohung entdeckt wurde, waren es bereits \u00fcber 9.000 Downloads.<\/p>\n

<\/a>

Die infizierte Version von \u201eChatGPT for Google\u201c sah dem Original t\u00e4uschend \u00e4hnlich. Quelle<\/a><\/p><\/div>\n

\u00a0<\/p>\n

Die Trojaner-Kopie von \u201eChatGPT for Google\u201c funktionierte genauso wie die echte Version, verf\u00fcgte jedoch \u00fcber b\u00f6sartige Funktionen: Die infizierte Version enthielt zus\u00e4tzlichen Code, mit dem die im Browser gespeicherten Cookies f\u00fcr Facebook-Sitzungen gestohlen wurden. Mithilfe dieser Dateien konnten die Angreifer die Facebook-Konten der Nutzer kapern, auf deren Ger\u00e4ten die infizierte Erweiterung installiert war.<\/p>\n

Die kompromittierten Konten wurden dann f\u00fcr illegale Zwecke genutzt. Als Beispiel nannten die Forscher das Facebook-Konto eines Wohnmobilherstellers, das nach der \u00dcbernahme f\u00fcr die terroristische Vereinigung ISIS warb.<\/p>\n

\"Gehacktes<\/a>

Nach der \u00dcbernahme begann das Facebook-Konto, f\u00fcr ISIS-Inhalte zu werben. Quelle<\/a><\/p><\/div>\n

\u00a0<\/p>\n

Im anderen Fall erstellten Betr\u00fcger die v\u00f6llig neue Erweiterung \u201eQuick access to Chat GPT\u201c. Die Erweiterung hielt tats\u00e4chlich, was sie versprach, und vermittelte mithilfe der offiziellen API des KI-Chatbots zwischen Nutzern und ChatGPT. In Wirklichkeit hatte es die Erweiterung jedoch auf Facebook-Sitzungs-Cookies abgesehen, um dann Facebook-Gesch\u00e4ftskonten zu kapern.<\/p>\n

<\/a>

Die b\u00f6sartige Erweiterung \u201eQuick access to Chat GPT\u201c. Quelle<\/a><\/p><\/div>\n

\u00a0<\/p>\n

Besonders interessant war aber, wie die T\u00e4ter Werbung f\u00fcr diese b\u00f6sartige Erweiterung machten. Sie verwendeten Facebook-Werbeanzeigen und bezahlten diese \u00fcber bereits gekaperte Gesch\u00e4ftskonten! Mit diesem ausgekl\u00fcgelten Schema konnten die Entwickler von \u201eQuick access to Chat GPT\u201c t\u00e4glich mehrere Tausend neue Nutzer gewinnen. Schlie\u00dflich wurden auch diese beiden b\u00f6sartigen Erweiterungen aus dem Store entfernt.<\/p>\n

ChromeLoader: Raubkopien mit b\u00f6sartigen Erweiterungen<\/h2>\n

H\u00e4ufig platzieren die Autoren b\u00f6sartiger Erweiterungen diese nicht im Google Chrome Web Store, sondern verteilen sie auf andere Weise. So stie\u00dfen Forscher beispielsweise Anfang des Jahres auf eine neue b\u00f6sartige Kampagne. Sie hing mit der im Bereich der Cybersicherheit bereits bekannten Malware ChromeLoader zusammen. Der eigentliche Zweck dieses Trojaners war es, eine b\u00f6sartige Erweiterung im Browser des Opfers zu installieren.<\/p>\n

Diese Erweiterung wiederum zeigt im Browser aufdringliche Werbung an und manipuliert Suchergebnisse durch Links, die zu gef\u00e4lschten Werbegeschenken, Umfragen, Dating-Websites, Spielen f\u00fcr Erwachsene oder unerw\u00fcnschter Software f\u00fchren.<\/p>\n

In diesem Jahr nutzten Angreifer verschiedene Raubkopien als K\u00f6der, um die Opfer zur Installation von ChromeLoader zu bewegen. Im Februar 2023<\/a> berichteten Forscher beispielsweise, dass ChromeLoader \u00fcber VHD-Dateien<\/a> (ein Format f\u00fcr Disk-Images) verbreitet wurden. Dazu waren die Dateien als gehackte Spiele oder \u201eCracks\u201c f\u00fcr Spiele getarnt. Die Kriminellen verwendeten unter anderem die Spiele Elden Ring, ROBLOX, Dark Souls 3, Red Dead Redemption 2, Need for Speed, Call of Duty, Portal 2, Minecraft, Legend of Zelda, Pokemon, Mario Kart und Animal Crossing. Und nat\u00fcrlich enthielten alle angebotenen VHD-Dateien einen Installer f\u00fcr die b\u00f6sartige Erweiterung.<\/p>\n

Einige Monate sp\u00e4ter, im Juni 2023<\/a>, ver\u00f6ffentlichte ein anderes Forscherteam einen ausf\u00fchrlichen Bericht \u00fcber die Aktivit\u00e4ten von ChromeLoader. Demnach erfolgte die Verbreitung \u00fcber ein Netzwerk von Websites, die raubkopierte Musik, Filme und auch hier wieder Computerspiele anboten. Anstelle von Originalinhalten wurden bei dieser Kampagne VBScript<\/a>-Dateien auf die Computer der Opfer heruntergeladen, die anschlie\u00dfend die b\u00f6sartige Browser-Erweiterung nachluden und installierten.<\/p>\n

\"ChromeLoader-Malware<\/a>

Eine der Websites, auf denen die ChromeLoader-Malware unter dem Deckmantel raubkopierter Inhalte verbreitet wurde. Quelle<\/a><\/p><\/div>\n

\u00a0<\/p>\n

Aufgrund der ver\u00e4nderten Suchergebnisse bemerken die Opfer zwar schnell, dass es in ihrem Browser eine gef\u00e4hrliche Erweiterung gibt. Es ist jedoch nicht so einfach, diese wieder loszuwerden. Denn ChromeLoader installiert nicht nur die b\u00f6sartige Erweiterung, sondern f\u00fcgt dem System auch Skripte und Aufgaben der Windows-Aufgabenplanung hinzu. Darum wird die Erweiterung bei jedem Neustart des Systems erneut installiert.<\/p>\n

Hacker lesen Gmail-Korrespondenz mithilfe einer Spionage-Erweiterung<\/h2>\n

Im M\u00e4rz 2023 ver\u00f6ffentlichten das Bundesamt f\u00fcr Verfassungsschutz und der s\u00fcdkoreanische National Intelligence Agency gemeinsam einen Bericht<\/a> \u00fcber die Aktivit\u00e4ten der Hackergruppe Kimsuky<\/a>. Diese Hacker verwenden eine infizierte Erweiterung f\u00fcr Chromium-basierte Browser \u2013 Google Chrome, Microsoft Edge sowie den s\u00fcdkoreanischen Browser Naver Whale \u2013, um die Gmail-Korrespondenz ihrer Opfer zu lesen.<\/p>\n

Der Angriff beginnt damit, dass die T\u00e4ter E-Mails an ausgesuchte Zielpersonen senden. Die E-Mail enth\u00e4lt einen Link zu der b\u00f6sartigen Erweiterung AF sowie einen Text, der das Opfer dazu verleitet, die Erweiterung zu installieren. Die Erweiterung beginnt ihr Werk, sobald das Opfer Gmail in einem Browser \u00f6ffnet, in dem sie installiert ist. Anschlie\u00dfend sendet AF die Korrespondenz des Opfers automatisch an den Kontrollserver der Hacker.<\/p>\n

Auf diese Weise erh\u00e4lt Kimsuky Zugriff auf den Postfachinhalt des Opfers. Die Kriminellen ben\u00f6tigen keinerlei schlaue Tricks, um das Postfach zu hacken. Sie umgehen einfach die Zwei-Faktor-Authentifizierung. Und noch ein Bonus: Diese Methode funktioniert h\u00f6chst diskret \u2013 insbesondere verhindert sie, dass Google das Opfer \u00fcber den Kontozugriff von einem neuen Ger\u00e4t oder verd\u00e4chtigen Ort warnt, wie es bei einem Passwortdiebstahl passieren w\u00fcrde.<\/p>\n

Rilide: Eine sch\u00e4dliche Erweiterung stiehlt Kryptow\u00e4hrung und umgeht die Zwei-Faktor-Authentifizierung<\/h2>\n

Oft verwenden Kriminelle b\u00f6sartige Erweiterungen auch, um Krypto-Wallets anzugreifen. Ein Beispiel ist die Erweiterung Rilide, die erstmals im April 2023<\/a> entdeckt wurde. Die B\u00f6sewichte verwenden sie, um die Browseraktivit\u00e4t infizierter Ger\u00e4te im Hinblick auf Kryptow\u00e4hrungen zu verfolgen. Wenn das Opfer Websites aus einer bestimmten Liste besucht, stiehlt die b\u00f6sartige Erweiterung Informationen \u00fcber Krypto-Wallets, E-Mail-Logins und Passw\u00f6rter.<\/p>\n

Dar\u00fcber hinaus sammelt und sendet diese Erweiterung den Browserverlauf an den Kontrollserver und erm\u00f6glicht den Angreifern, Screenshots zu erstellen. Am interessantesten ist jedoch, dass Rilide die Zwei-Faktor-Authentifizierung umgehen kann.<\/p>\n

Wenn die Erweiterung erkennt, dass ein Nutzer im Begriff ist, eine Krypto-Transaktion \u00fcber einen der Online-Dienste durchzuf\u00fchren, f\u00fcgt sie ein Skript in die Seite ein \u2013 dann wird der Eingabedialog f\u00fcr den Best\u00e4tigungscode ersetzt und der Code gestohlen. Das Wallet des Zahlungsempf\u00e4ngers wird durch ein Wallet des Angreifers ersetzt und die Erweiterung best\u00e4tigt die Transaktion anhand des gestohlenen Codes.<\/p>\n

\"Werbung<\/a>

Wie die b\u00f6sartige Rilide-Erweiterung auf X (Twitter) unter dem Deckmantel von Blockchain-Spielen beworben wurde. Quelle<\/a><\/p><\/div>\n

\u00a0<\/p>\n

Rilide hat es auf die Nutzer von Chromium-basierten Browsern abgesehen (Chrome, Edge, Brave und Opera). Damit kein Verdacht entsteht, wird eine legitime Google Drive-Erweiterung imitiert. Rilide wird frei auf dem illegalen Markt verkauft und wird daher von Kriminellen verwendet, die nichts miteinander zu tun haben. Aus diesem Grund wurden verschiedene Verbreitungsmethoden entdeckt \u2013 von b\u00f6sartigen Websites und E-Mails bis hin zu infizierten Installationsprogrammen f\u00fcr Blockchain-Spiele<\/a>, f\u00fcr die auf Twitter<\/span> X geworben wird.<\/p>\n

Eine besonders interessante Verbreitungsmethode von Rilide war eine irref\u00fchrende PowerPoint-Pr\u00e4sentation<\/a>. Diese Pr\u00e4sentation diente als Sicherheitsleitfaden f\u00fcr Zendesk-Mitarbeiter, war aber in Wirklichkeit eine Schritt-f\u00fcr-Schritt-Anleitung f\u00fcr die Installation der b\u00f6sartigen Erweiterung.<\/p>\n

\"Installationsanleitung<\/a>

Eine pr\u00e4zise Anleitung zur Installation der b\u00f6sartigen Erweiterung, getarnt als Sicherheitspr\u00e4sentation f\u00fcr Zendesk-Mitarbeiter. Quelle<\/a><\/p><\/div>\n

\u00a0<\/p>\n

Dutzende b\u00f6sartige Erweiterungen im Chrome Web Store \u2013 mit insgesamt 87 Millionen Downloads<\/h2>\n

Und nat\u00fcrlich d\u00fcrfen wir die Geschichte des Sommers nicht vergessen, als Forscher im Google Chrome Web Store mehrere Dutzend b\u00f6sartige Erweiterungen<\/a> entdeckten, die von dort zusammen mehr als 87 Millionen Mal heruntergeladen wurden. Dabei handelte es sich um verschiedene Arten von Browser-Plug-ins \u2013 von Tools zum Konvertieren von PDF-Dateien \u00fcber Werbeblocker bis hin zu \u00dcbersetzungs- und VPN-Erweiterungen.<\/p>\n

Die Erweiterungen wurden dem Chrome Web Store bereits 2022 und 2021 hinzugef\u00fcgt. Als sie entdeckt wurden, waren sie also bereits seit mehreren Monaten, einem Jahr oder noch l\u00e4nger dort. In den Rezensionen gab es einige Beschwerden von aufmerksamen Nutzern, die davor warnten, dass die Erweiterungen die Adressen aus Suchergebnissen durch Werbelinks ersetzten. Leider wurden diese Hinweise von den Moderatoren des Chrome Web Store ignoriert. Die b\u00f6sartigen Erweiterungen wurden erst aus dem Store verbannt, nachdem zwei Gruppen von Sicherheitsforschern Google auf das Problem hingewiesen hatten.<\/p>\n

<\/a>

Die beliebteste der b\u00f6sartigen Erweiterungen \u2013 Autoskip for YouTube \u2013 mit \u00fcber 9 Millionen Downloads bei Google Chrome Web Store. Quelle<\/a><\/p><\/div>\n

\u00a0<\/p>\n

So sch\u00fctzen Sie sich vor b\u00f6sartigen Erweiterungen<\/h2>\n

Wie Sie sehen, k\u00f6nnen gef\u00e4hrliche Browser-Erweiterungen aus verschiedenen Quellen auf Ihren Computer gelangen \u2013 auch \u00fcber den offiziellen Google Chrome Web Store. Und Angreifer k\u00f6nnen mit Erweiterungen alles M\u00f6gliche anstellen \u2013 Konten \u00fcbernehmen, Suchergebnisse manipulieren, Korrespondenz lesen und Kryptow\u00e4hrung stehlen. Darum sind entsprechende Vorkehrungen sehr wichtig:<\/p>\n