MSI GTX 1070 Ti Gaming

Chrome: Gefährliche Erweiterungen in Googles Web Store

reported by doelf, Mittwoch der 17.01.2018, 10:04:48 Uhr

Die Sicherheitsspezialisten von Icebrg haben vier gefährliche Erweiterungen für Googles Webbrowser Chrome entdeckt, die vermutlich für Klickbetrug und die Manipulation von Suchmaschinenergebnissen genutzt werden. Die Bedrohung ist jedoch noch viel größer, da Kriminelle über diese Erweiterungen auch in Firmennetzwerke vordringen können. Weltweit wurden diese Erweiterungen von mehr als einer halben Million Nutzer über Googles Web Store installiert.

Aktuelle Bedrohungslage und die Namen der Erweiterungen
Nach der Entdeckung der gefährlichen Erweiterungen hatte Icebrg zunächst die für IT-Sicherheit zuständigen Behörden - das "National Cyber Security Centre of The Netherlands" (NCSC-NL) und das "United States Computer Emergency Readiness Team" (US-CERT) - sowie Google informiert. Google hat diese inzwischen aus seinem Chrome Web Store entfernt, doch damit ist nicht garantiert, dass die Erweiterungen auch von den betroffenen Rechnern verschwunden sind. Hier hilft nur selber nachsehen. Die Namen der Erweiterungen lauten:

  • Nyoogle - Custom Logo for Google
  • Lite Bookmarks
  • Stickies - Chrome's Post-it Notes
  • Change HTTP Request Header

Mit 509.736 Installationen ist "Nyoogle - Custom Logo for Google" mit Abstand am weitesten verbreitet. Es kann sein, dass die riskanten Erweiterungen noch über Web-Stores von Drittanbietern vertrieben werden. Auch ist es möglich, dass die verantwortlichen Entwickler versuchen werden, vergleichbare Apps unter einem neuen Namen in Googles Web Store zu platzieren. Generell ist es ratsam nur jene Erweiterungen zu installieren, die man wirklich benötigt, denn letztendlich stellt jede Erweiterung eine potentielle Schwächung der Browser-Sicherheit dar.

Gefährlichen Code nachladen und Entdeckung vermeiden
Laut Icebrg steckt in Erweiterungen wie "Change HTTP Request Header" kein offensichtlich bösartiger Code, doch es gibt darin Funktionen, um beliebigen JavaScript-Code von einem Kontrollserver nachzuladen und diesen dann auszuführen. Die Sicherheitsforscher konnten solche Downloads von verschleiertem JavaScript-Code in der Praxis beobachten. Bevor der Code tatsächlich ausgeführt wird, überprüft die Erweiterung, ob bestimmte Debugging-Werkzeuge aktiv sind. Da solche Werkzeuge den eingeschleusten Code entdecken könnten, bleibt er in diesen Fällen inaktiv.

Browser für Werbebetrug missbraucht
Kommt es zur Ausführung, richtet der JavaScript-Code einen WebSocket-Tunnel zum Kontrollserver ein, um über Chrome Aufrufe bestimmter Webseiten zu generieren. Der auf diese Weise ferngesteuerte Webbrowser erzeugt nun illegitime Werbeeinnahmen durch Klickbetrug. Allerdings ist es den Kriminellen auch möglich, den Browser auf Webseiten mit weiterer Schadsoftware umzuleiten oder in das Intranet von Unternehmen vorzudringen, dessen Seiten aus dem Internet ansonsten nicht zugänglich wären. Da die Erweiterungen ihre Befehle vom Kontrollserver erhalten, lässt sich nicht abschätzen, ob solche Szenarien möglicherweise schon eingetreten sind.

Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]