Sicherheitsforscher sind auf eine Spyware-Kampagne gestoßen, die auf Chrome-Erweiterungen zielt, und mehr als 70 Erweiterungen infizierte, die über 32 Millionen mal aus dem Store heruntergeladen wurde.
Anzeige
Die Spyware wurde von Sicherheitsforschern von Awake Security entdeckt, wie Reuters in diesem Artikel schreibt. Den Urhebern der Spyware ist es wohl gelungen, den Code in Chrome-Erweiterungen einzuschleusen, so dass dieser über 32 Millionen Downloads solcher infizierten Erweiterungen Google Chrome-Webbrowser verteilt wurden.
Die Forscher von Awake Security werfen der technischen Industrie Versagen vor, da diese die Browser nicht vor so etwas schützen. Andererseits werden Browser vermehrt für E-Mail, Gehaltsabrechnung und andere sensible Funktionen verwendet. Zweck der Erweiterungen dürfte daher Spionage oder Datenabruf aus den Browseranwendungen der Anwender sein. Alles was im Browser passiert, kann durch die Chrome-Erweiterungen mitgelesen und abgezogen werden.
Google wirft 70 Erweiterungen raus
Google hat mehr als 70 der bösartigen Add-ons aus seinem offiziellen Chrome-Webstore entfernt, nachdem die Sicherheitsforscher das Unternehmen im vergangenen Monat darauf aufmerksam gemacht haben.
"Wenn wir über Erweiterungen im Webshop benachrichtigt werden, die gegen unsere Richtlinien verstoßen, ergreifen wir Maßnahmen und nutzen diese Vorfälle als Schulungsmaterial, um unsere automatischen und manuellen Analysen zu verbessern", erklärte Google-Sprecher Scott Westover gegenüber Reuters.
Anzeige
Gemessen an der Anzahl der Downloads war dies die bisher weitreichendste Kampagne für bösartige Chrome-Erweiterungen aus dem Store, so der Mitbegründer und leitende Wissenschaftler von Awake, Gary Golomb.
Hintermänner unklar
Es ist unklar, wer hinter den Bemühungen um die Verbreitung der Malware stand. Die Sicherheitsforscher von Awake stellten fest, dass die Entwickler der Spyware gefälschte Kontaktinformationen angegeben haben, als sie die Erweiterungen bei Google einreichten.
"Alles, was Sie in den Browser oder die E-Mail von jemandem oder in andere sensible Bereiche bringt, wäre ein Ziel für nationale Spionage wie auch für das organisierte Verbrechen", sagte der ehemalige Ingenieur der Nationalen Sicherheitsbehörde, Ben Johnson, der die Sicherheitsfirmen Carbon Black und Obsidian Security gründete.
Die Erweiterungen seien entworfen worden, um die Entdeckung durch Antiviren-Firmen oder Sicherheitssoftware zu vermeiden, sagte Golomb. Beim Surfen mit dem Browser auf einem Heimcomputer könnten die Erweiterungen sich mit einer Reihe von Websites verbinden und Informationen übertragen, so die Entdecker. In Unternehmensnetzwerken mit entsprechenden Sicherheitseinstellungen (Firewall) können aber keine sensiblen Informationen übertragen oder bösartigen Versionen der Websites erreicht werden.
Awake veröffentlichte seine Forschungsergebnisse, einschließlich der Liste der Domains und Erweiterungen hier (Registrierung erforderlich). Alle fraglichen Domains, insgesamt mehr als 15.000 miteinander verlinkte Domains, wurden von einem kleinen Registrar in Israel, Galcomm, erworben, der formell als CommuniGal Communication Ltd. bekannt ist. Awake sagte, Galcomm hätte wissen müssen, was vor sich ging.
Anzeige