Gut getarnt: So blieben Schad-Extensions in Chrome & Edge unentdeckt

Die Malware-Extensions, die im Dezember bei Millionen Chrome- und Edge-Nutzern gefunden wurden, haben sich ziemlich gut vor einer Entdeckung geschützt. Das haben weitergehende Analysen nun deutlich gemacht. Bei den schädlichen Browser-Erweiterungen handelte es sich um vermeintliche Angebote zum Download von Inhalten diverser Social Media-Plattformen. Ingesamt ging es hier um 28 verschiedene Extensions, die über die offiziellen Download-Plattformen der Browser-Hersteller vertrieben wurden. Tief in ihrem Inneren hatten die Entwickler Schadcode verborgen, der die User ausspionierte.

Die Betreiber der Malware taten aber weit mehr, als nur die bösartigen Routinen gut zu tarnen. Denn dass die Sicherheits-Funktionen von Betriebssystem und Security-Software nicht auch aufgrund der Verhaltensweise der Malware ansprangen, musste auch mit anderen Verschleierungs-Mechanismen gewährleistet werden.

Tarnung im Analytics-Style

Die Sicherheits-Forscher von Avast haben die Extensions nach ihrer Entdeckung weitergehend analysiert und nun weitere Ergebnisse dessen vorgelegt. So zeigte sich, dass die Schadcodes unter anderem den Cache-Control-HTTP-Header nutzten, um ihre Kommunikation mit der Kommando-Infrastruktur zu tarnen. Dies ist eine recht neue Erscheinung, auf die sich die Mechanismen zur heuristischen Erkennung unbekannter Malware noch nicht eingestellt haben.

Weitergehende Datenübertragungen wurden so gestaltet, dass sie wie eine Kommunikation mit dem Statistik-Dienst Google Analytics aussahen. Die Kommandos der Kontroll-Infrastruktur wurden hier in den Informationen über die Webseiten-Nutzung versteckt. Damit schlugen die Malware-Betreiber im Grunde zwei Fliegen mit einer Klappe: Sie kamen an die Analytics-Requests, die sie ohnehin auch haben wollten, und konnten auf einem unverdächtigen Weg mit der installierten Malware kommunizieren.

Siehe auch: