Malware kommt als Google Chrome-Erweiterung

Zum Wochenabschluss noch eine Warnung an Nutzer des Google Chrome, die gerne Chrome-Erweiterungen verwenden. In einer Malware-Kampagne versuchen Cyber-Kriminelle mit einem trickreichen Ansatz eine unsaubere Chrome-Erweiterung unter die Nutzer zu bringen. Es reicht der Besuch einer kompromittierten Webseite, um die Erweiterung untergejubelt zu bekommen.


Anzeige

Der Angriff im Rahmen der Malware-Kampagne richtet sich gezielt an Nutzer des Google Chrome. Besuchen die Nutzer eine kompromittierte Webseite, und wird der Google Chrome am User Agent-String identifiziert, kann der Nutzer diese Webseite nicht mehr verlassen. Vielmehr wird er aufgefordert, eine Chrome-Erweiterung zu installieren. Nachfolgend wird der Angriff in einem Screenshot demonstriert – das im Vordergrund sichtbare Dialogfeld informiert den Benutzer, dass er die Erweiterung installieren muss, um die Webseite verlassen zu können.


(Quelle: MalwareBytes)

Der Benutzer könnte dann den Google Chrome zwar im Task-Manager abschießen. Aber das wissen die Nutzer meistens nicht. Stimmt der Nutzer der Installation der Chrome Erweiterung zu, versteckt sich diese unter einem 1×1 Pixel großen Bild in der Seite mit den installierten Chrome-Erweiterungen. Gleichzeitig fängt die Erweiterung die Befehle chrome://extensions und chrome://settings im Browser ab. Der Versuch, diese aufzurufen, führt zu einer Umleitung auf chrome://apps.


(Quelle: MalwareBytes)

Das obige animierte Bild zeigt die Apps-Seite (der erste Eintrag scheint leer zu sein, ist aber von der Erweiterung mit dem 1×1 Pixel belegt). Gibt man einen der URL-Befehle zum Zugriff auf die Extensions ein, landet man wieder bei der Liste der Chrome-Extensions. Das macht es für normale Nutzer schwierig, zu erkennen, welche Chrome-Erweiterungen vorhanden sind.


(Quelle: MalwareBytes)

Zweck der Chrome-Erweiterung, die über einen C&C-Server mit Befehlen versorgt werden kann, ist die Anzeige von Werbung (Ad Fraud) und der Versuch, den Nutzer mit angeblichen Computerfehlern (Tech Scam) zum Anruf einer Support-Nummer zu bewegen. Weitere Details sind bei MalwareBytes in diesem englischsprachigen Blog-Beitrag dokumentiert.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Google Chrome, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

5 Antworten zu Malware kommt als Google Chrome-Erweiterung

  1. sandy sagt:

    Echt schlimm, was derzeit wieder an Malware bzw. Viren unterwegs ist…

    Besten Dank für den Hinweis!

  2. Wolfgang Schneider sagt:

    Dein Zitat:
    Der Benutzer könnte dann den Google Chrome zwar im Task-Manager
    abschießen. Aber das wissen die Nutzer meistens nicht.
    Zitat Ende.

    Das sollte sich mittlerweile jeder User hinter die Ohren schreiben.
    Poppt ein Fester auf, egal welches. MS macht das nicht, gleich zum
    Task-Manager und weg damit. Wer jetzt immer noch nicht weiß,
    wie das geht.

    • Pater sagt:

      Es geht auch so: Öffnen des Google-Taskmanager mit der Tastenkombination "Shift(Umschalttaste)+Esc" und den unerwünschten Prozess auswählen und auf "Prozess beenden" klicken.

  3. Wolfgang Schneider sagt:

    Bleibt sich doch gleich, Pater. Ich kann auch strg/alt/entfernen drücken
    (Affenkralle). Viele Wege führen nach Rom. Auch mit der umständlichen
    Maus, funktioniert es. Wichtig ist doch, dass der Browser ins Nirwana
    geschossen wird.

    http://tinyurl.com/jduqxfg
    ;-)

  4. Dekre sagt:

    Man muss da auch mal wieder Entwarnung geben und auf die verlinkte Malwarebytes-Seite verweisen.
    Dort steht nämlich:
    "Google has pulled this bogus extension from its store. If you already have it installed and can't get rid of it (it won't let you do it the regular way), please download Malwarebytes and run a scan. We detect and remove this one as"
    Also das Ding gibt es nicht mehr bei Google und wer sich was eingefangen hat, soll Malwarebytes runterlanden und es durchlaufen lassen. Man kann auch den AdwCleaner durchlaufen lassen, ist jetzt auch bei Malwarebytes.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.