Chrome Erweiterung CopyFish kompromittiert

Publiziert am 1. August 2017 von Günter Born

Warnung all alle Benutzer des Google Chrome-Browsers, die die Extension CopyFish verwenden. Der Entwicklerzugang der Erweiterung wurde gehackt und Kriminelle verteilten eine kompromittierte Version dieser Erweiterung.

Anzeige

Chrome-Erweiterungen erweisen sich zwischenzeitlich als beliebtes Einfallstor für Malware und Adware. Erst Mitte Juli 2017 hatte ich den Blog-Beitrag Chrome-Erweiterungen als Adware-Schleuder, in dem ich auf ein Problem hinwies. Kriminelle kaufen Chrome-Extensions auf und versehen diese mit Adware, um Werbung im Browser einzublenden.

Chrome-Erweiterung CopyFish

Die Erweiterung CopyFish ist eine OCR-Software und ermöglichte im Google Chrome-Browser durchaus sinnvolle Funktionen.

CopyFish Chrome Extension
(Quelle: Bleeping Computer)

Man konnte aus Bildern, PDF-Dokumenten oder Scans Texte extrahieren und weiter verarbeiten. Die Erweiterung stand kostenlos im Google Chrome Extension-Store zur Verfügung.

Entwicklerkonto per Phishing gehackt

Statt die Erweiterung aufzukaufen, gingen Cyberkriminelle einen anderen Weg. Wie Bleeping Computer hier berichtet, ist es einem unbekannten Hacker wohl letzten Freitag gelungen, die Zugangsdaten zum Google Entwicklerkonto zu erbeuten. Dazu schickte er dem Entwickler eine Phishing-Mail, angeblich vom Chrome-Team. Es wurde angegeben, die Chrome-Erweiterung zu aktualisieren, da sie andernfalls aus dem Store entfernt würde. Hier die Phishing-Mail, die die Entwickler veröffentlicht haben.

Phishing-Mail

Ein Entwickler fiel auf die Phishing-Mail herein und gab seine Zugangsdaten  in einem Formular der Phisher, welches unter chromedev[dot]freshdesk[dot]com gehostet war, ein. Die Phisher zogen wohl die Chrome-Extension auf einen eigenen Account um und stellten am Samstag eine kompromittierte Version v2.8.5 der CopyFish-Erweiterung im Chrome Store ein. Diese kompromittierte Erweiterung blendet Werbung im Browser des Opfers ein.

Die Entwickler der CopyFish-Erweiterung haben diesen Post mit einer Warnung hinterlassen. Dort beschreiben Sie den entsprechenden Ablauf, wie der Account kompromittiert wurde. Die Entwickler haben bis jetzt wohl keinen Zugriff auf die Chrome-Erweiterung, das sie aus dem eigenen Entwicklerkonto verschwunden ist. Gestern, am 31. August 2017, wurde die Verteilung der kompromittierten CopyFish-Adware durch den UNPKG-Maintainer gestoppt – so dass keine neuen Versionen mehr verteilt werden können. Sprich: CopyFish ist auch nicht mehr als Chrome Erweiterung erhältlich. Das Google-Team arbeitet daran, dass die Entwickler wieder die Kontrolle über ihre Erweiterung erhalten.

Anzeige

Inzwischen hat ein CopyFish-Nutzer diesen Eintrag bei HackerNews veröffentlicht, der das Problem beschreibt. Die mit protokollierte IP-Adresse der Phisher zeigt übrigens auf ein Macbook, welches in Sankt Petersburg (Russland) unterwegs war.

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Google Chrome, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Chrome Erweiterung CopyFish kompromittiert

  1. Remo sagt:
    2. August 2017 um 07:54 Uhr

    Psst … die Erweiterung heisst CopyFish (im Titel)

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.