Browser-Hijack: Erzwungene Installation von Chrome-Erweiterungen

Die Sicherheitsforscher von Malwarebytes haben sich einem verhältnismäßig neuen Trick von Betrügern angenommen: Es geht um schadhafte Browser-Erweiterungen, die sich mehr oder weniger ungewollt vom Nutzer selbst installieren und sich nur mit großem Aufwand wieder entfernen lassen.
Infografik: Marktanteile Chrome, Firefox, Internet Explorer

Schadcode nachgewiesen

In einem neuen Sicherheitsbericht über Chrome- und Firefox-Erweiterungen informieren die Anti-Malware-Softwarehersteller Malwarebytes über eine Extension namens "Tiempo en colombia en vivo" (Wetter in Kolumbien live), die durch ihr ungewöhnliches Verhalten auffällt. Wie Malwarebytes berichtet, wird die Erweiterung quasi aufgezwungen installiert und zwar bei dem Besuch von entsprechend manipulierten Webseiten.

Ablehnen klappt nicht

Befindet sich der Nutzer auf einer solchen Seite, erhält er eine Javascript-Meldung, die ihn zur Installation der Extension auffordert. Normalerweise lassen sich solche Fenster schließen ("Ablehnen"). Doch die Macher der Wetter-Erweiterung haben dort eine Sperre eingebaut, die die Ablehnung verhindert und den Browser für die Weiterbenutzung sperrt - die Meldung wird so lang angezeigt, bis man der Installation zustimmt.

Weißes Bild, weiße Schrift

Die Erweiterung, die sowohl für Chrome- als auch für Firefox gefunden wurde, verhindert, dass Benutzer sie dann anschließend wieder einfach entfernen können. Das gelingt, indem sie entweder automatisch die Seiten mit Informationen zu den Erweiterungen/Add-Ons schließen oder Benutzer auf eine andere Seite weiterleiten, wie etwa eine Übersichtsseite für Anwendungen, auf der die Erweiterungen dann nicht aufgeführt sind. Sie verschleiert ihre Existenz zudem durch ein weißes Icon und weiße Schrift und kann nur durch Tricks entfernt werden.

Die Sicherheitsforscher haben einmal mehr bewiesen, dass bei Google Chrome die Erweiterungen die Achillesferse des an sich wohl sichersten Browsers im Internet sind, schreibt die Newsseite Arstechnica.

Die Forscher haben das Verhalten des bösartigen Add-ons dokumentiert und alle Informationen an Google gesendet. Nach gut zweieinhalb Wochen wurde die Erweiterung dann von Google aus dem Web Store entfernt. Auch die installierten Erweiterungen konnten automatisiert deinstalliert werden.


Siehe auch:
Download Chrome - Webbrowser von Google Download Mozilla Firefox - Open-Source-Browser Download Vivaldi - Browser des Ex-Opera-Chefs