Datendieb

Passwortklau per Browser-Erweiterung

Dienstag den 13.11.2012 um 16:34 Uhr

von Frank Ziemann

Passwortdieb nutzt Browser-Erweiterung
Vergrößern Passwortdieb nutzt Browser-Erweiterung
© Trend Micro
Ein neu entdeckter Schädling sammelt Anmeldedaten für Online-Dienste, auch für solche, die verschlüsselte Verbindungen nutzen. Er arbeitet dabei nicht als Keylogger sondern mit einer Firefox-Erweiterung, die gespeicherte Passwörter extrahiert.
Der Antivirushersteller Trend Micro meldet die Entdeckung eines Trojanischen Pferds, das sich als Passwortdieb betätigt. Während die meisten Schädlinge, die Passwörter stehlen, Tastatureingaben protokollieren ("Keylogger") und der kürzlich entdeckte TSPY_PIXSTEAL Bilddateien entführt, benutzt TSPY_PASSTEAL.A eine Browser-Erweiterung für diesen Zweck.

Wie Alvin John Nieto im Trend Micro Blog berichtet, enthält diese Malware eine komprimierte Anwendung namens PasswordFox, eine Erweiterung für Firefox. Damit kann der Schädling Passwörter einsammeln, die im Browser gespeichert sind. Diese speichert er in einer XML-Datei und erstellt daraus eine Textdatei, die er an einen FTP-Server sendet. Da die Zugangsdaten aus dem Passwortspeicher extrahiert werden, sind per SSL/HTTPS verschlüsselte Web-Verbindungen kein Hindernis.

Bislang hat Trend Micro etwa 400 mit TSPY_PASSTEAL.A infizierte Systeme entdeckt. Diese relativ geringe Zahl legt die Vermutung nahe, dass es sich um Angriffe handelt, die vor allem auf Unternehmen zielen. Die verwendete Methode ermöglicht es auch Login-Daten für Unternehmens-interne Anwendungen auszuspionieren, soweit die Anmeldung hierfür per Browser erfolgt. Trend Micro geht aufgrund einiger Ähnlichkeiten davon aus, dass diese Malware von denselben Tätern stammt wie der Bilderdieb TSPY_PIXSTEAL.

Trend Micro empfiehlt: Anwender sollten Zugangsdaten nicht im Browser speichern, auch wenn dieser das anbietet und es bequem ist. Außerdem sollte der Browser so eingestellt werden, dass beim Beenden der Web-Sitzung alle Daten aus dem Zwischenspeicher (Cache) gelöscht werden.

Dienstag den 13.11.2012 um 16:34 Uhr

von Frank Ziemann

Kommentieren Kommentare zu diesem Artikel (3)
  • P.A.C.O. 20:21 | 14.11.2012

    nützt ja dem Großkapital


    Aber leider nicht deinem Kleinhirn.

    Antwort schreiben
  • kazhar 20:18 | 14.11.2012

    du solltest nicht alles glauben, was du in csi gezeigt kriegst

    Antwort schreiben
  • Till Wollheim 11:34 | 14.11.2012

    Passwortklau per Browser-Erweiterung

    >>Wo ist das Problem?<<
    Die Daten werden ja irgendwohin übermittelt. Und alle Internetanschlüsse der Welt sind rückverfolgbar - wenn man will sehr schnell. Das Argument, es ginge über zig Umleitungen ist kein Hindernis. So wie die gestohlenen Daten ihren Weg in Sekunden finden, kann auch die Verbindung ermittelt werden.
    Aber es besteht ja überhaupt kein Interesse an Aufklärung, denn jeder Umsatz - auch wenn kriminell - nützt ja dem Großkapital !
    Till

    Antwort schreiben
1632099