1809166

Schädliche Browser-Erweiterungen für Firefox und Chrome

05.08.2013 | 16:22 Uhr |

Über soziale Netzwerke werden betrügerische Browser-Erweiterungen verbreitet, die Benutzerkonten der Opfer kapern und in deren Namen Aktionen ausführen. Der vorgebliche Video-Player enthält eine gültige digitale Signatur.

Mit einer bewährten Masche, dem Video-Köder, verbreiten Online-Kriminelle in sozialen Netzwerken wie Facebook, Twitter und Google+ schädliche Browser-Erweiterungen. Sie werden potenziellen Opfern zum Beispiel als vorgebliches Video Player Update aufgenötigt, das angeblich nötig sei, um ein Video abspielen zu können. Doch darin steckt ein Schädling, der den Browser infiltriert.

Der Antivirushersteller Trend Micro warnt in seinem deutschen Blog vor diesen Schädlingen. Die vorgeblichen Updates enthalten eine gültige digitale Signatur, werden durch das Betriebssystem also als vertrauenswürdig eingestuft. Wird der Schädling, den Trend Micro "TROJ_FEBUSER.AA" nennt, aufgerufen, installiert er eine Browser-Erweiterung für Chrome oder Firefox. Sie trägt Namen wie "Chrome Service Pack 5.0.0" oder "Mozilla Service Pack 5.0" (für Firefox). Neuere Versionen tragen Namen wie "F-Secure Security Pack 6.1".

TROJ_FEBUSER.AA und .AB
Vergrößern TROJ_FEBUSER.AA und .AB

Diese Erweiterung verbindet sich mit einer Web-Adresse und lädt eine Konfigurationsdatei herunter. Mit den darin enthaltenen Informationen kapert der Schädling Social-Media-Konten der Opfer und führt in deren Namen Aktionen in Facebook und Co. aus. Er kann etwa Seiten mit "Gefällt mir" kennzeichnen, Einträge teilen, einer Gruppe beitreten, Freunde in eine Gruppe einladen, chatten, Kommentare abgeben und den Status aktualisieren. Die Täter können auf diesem Wege zum Beispiel schädliche Web-Adressen verbreiten, um weitere Opfer zu ködern.

Um diese Infektionskette zu unterbrechen, ist ein Schutzprogramme nützlich, das die Reputation aufgerufener Web-Adressen prüft. Solche so genannten Web-Filter blockieren die URLs, mit denen sich die schädlichen Browser-Erweiterungen zu verbinden versuchen. Somit wird der Download der Konfigurationsdatei unterbunden.

0 Kommentare zu diesem Artikel
1809166