Warnung all alle Benutzer des Google Chrome-Browsers, die die Extension CopyFish verwenden. Der Entwicklerzugang der Erweiterung wurde gehackt und Kriminelle verteilten eine kompromittierte Version dieser Erweiterung.
Anzeige
Chrome-Erweiterungen erweisen sich zwischenzeitlich als beliebtes Einfallstor für Malware und Adware. Erst Mitte Juli 2017 hatte ich den Blog-Beitrag Chrome-Erweiterungen als Adware-Schleuder, in dem ich auf ein Problem hinwies. Kriminelle kaufen Chrome-Extensions auf und versehen diese mit Adware, um Werbung im Browser einzublenden.
Chrome-Erweiterung CopyFish
Die Erweiterung CopyFish ist eine OCR-Software und ermöglichte im Google Chrome-Browser durchaus sinnvolle Funktionen.
(Quelle: Bleeping Computer)
Man konnte aus Bildern, PDF-Dokumenten oder Scans Texte extrahieren und weiter verarbeiten. Die Erweiterung stand kostenlos im Google Chrome Extension-Store zur Verfügung.
Anzeige
Entwicklerkonto per Phishing gehackt
Statt die Erweiterung aufzukaufen, gingen Cyberkriminelle einen anderen Weg. Wie Bleeping Computer hier berichtet, ist es einem unbekannten Hacker wohl letzten Freitag gelungen, die Zugangsdaten zum Google Entwicklerkonto zu erbeuten. Dazu schickte er dem Entwickler eine Phishing-Mail, angeblich vom Chrome-Team. Es wurde angegeben, die Chrome-Erweiterung zu aktualisieren, da sie andernfalls aus dem Store entfernt würde. Hier die Phishing-Mail, die die Entwickler veröffentlicht haben.
Ein Entwickler fiel auf die Phishing-Mail herein und gab seine Zugangsdaten in einem Formular der Phisher, welches unter chromedev[dot]freshdesk[dot]com gehostet war, ein. Die Phisher zogen wohl die Chrome-Extension auf einen eigenen Account um und stellten am Samstag eine kompromittierte Version v2.8.5 der CopyFish-Erweiterung im Chrome Store ein. Diese kompromittierte Erweiterung blendet Werbung im Browser des Opfers ein.
Die Entwickler der CopyFish-Erweiterung haben diesen Post mit einer Warnung hinterlassen. Dort beschreiben Sie den entsprechenden Ablauf, wie der Account kompromittiert wurde. Die Entwickler haben bis jetzt wohl keinen Zugriff auf die Chrome-Erweiterung, das sie aus dem eigenen Entwicklerkonto verschwunden ist. Gestern, am 31. August 2017, wurde die Verteilung der kompromittierten CopyFish-Adware durch den UNPKG-Maintainer gestoppt – so dass keine neuen Versionen mehr verteilt werden können. Sprich: CopyFish ist auch nicht mehr als Chrome Erweiterung erhältlich. Das Google-Team arbeitet daran, dass die Entwickler wieder die Kontrolle über ihre Erweiterung erhalten.
Inzwischen hat ein CopyFish-Nutzer diesen Eintrag bei HackerNews veröffentlicht, der das Problem beschreibt. Die mit protokollierte IP-Adresse der Phisher zeigt übrigens auf ein Macbook, welches in Sankt Petersburg (Russland) unterwegs war.
Anzeige
Psst … die Erweiterung heisst CopyFish (im Titel)