Chrome und Edge-User in Gefahr:
Malware-Erweiterung seit 2021 aktiv
Sicherheitsforscher haben eine Malware-Kampagne entdeckt, mit der bereits seit Jahren Nutzer der Browser Chrome und Edge attackiert werden. Der Schadcode versteckt sich dabei in Erweiterungen, die den Anwendern vermeintlich nützliche Features anbieten.
Spuren der Malware lassen sich demnach bis ins Jahr 2021 zurückverfolgen. Seitdem wurden entsprechend manipulierte Erweiterungen mindestens 300.000 Nutzern untergeschoben - die Dunkelziffer kann hier allerdings um einiges höher liegen.
Im Mittelpunkt der Kampagne steht die Verwendung von Malvertising, um Websites zu bewerben, die bekannteren Angeboten nachgebildet sind. Es geht hier um Fälschungen der Seiten von Roblox FPS Unlocker, YouTube, VLC-Mediaplayer, Steam oder KeePass. Hier sollen Nutzer dazu verleitet werden, Downloads zu tätigen, mit denen weitergehende Schadcodes verbreitet werden können.
Für unerfahrene Nutzer gibt es kaum einen Weg außer einer Neuinstallation, um die Malware loszuwerden. Wer sich etwas besser im Windows-System auskennt, kann folgenden Weg gehen:
Siehe auch:
Vielfältige Wirkung
"Die Trojaner-Malware enthält verschiedene Elemente, die von einfachen Adware-Erweiterungen, die Suchanfragen kapern, bis hin zu ausgefeilteren schädlichen Skripten reichen, mit denen private Daten gestohlen und fremde Codes ausgeführt werden", so das Forschungsteam des Security-Dienstleisters ReasonLabs in seiner Analyse.Spuren der Malware lassen sich demnach bis ins Jahr 2021 zurückverfolgen. Seitdem wurden entsprechend manipulierte Erweiterungen mindestens 300.000 Nutzern untergeschoben - die Dunkelziffer kann hier allerdings um einiges höher liegen.
Im Mittelpunkt der Kampagne steht die Verwendung von Malvertising, um Websites zu bewerben, die bekannteren Angeboten nachgebildet sind. Es geht hier um Fälschungen der Seiten von Roblox FPS Unlocker, YouTube, VLC-Mediaplayer, Steam oder KeePass. Hier sollen Nutzer dazu verleitet werden, Downloads zu tätigen, mit denen weitergehende Schadcodes verbreitet werden können.
Erweiterung hält sich
Bei der Entwicklung der Erweiterung haben sich die Täter recht geschickt angestellt. Sie kann vom Benutzer nicht deaktiviert werden, selbst wenn der Entwicklermodus aktiviert ist, hieß es. Neuere Versionen machen sogar bereits installierte Browser-Updates rückgängig, damit ältere Sicherheitslücken weiterhin ausgenutzt werden können.Für unerfahrene Nutzer gibt es kaum einen Weg außer einer Neuinstallation, um die Malware loszuwerden. Wer sich etwas besser im Windows-System auskennt, kann folgenden Weg gehen:
- In der "Task Scheduler Library" muss eine Aktion gesucht werden, die ein PowerShell-Skript in "c:\windows\system32" startet. Der genaue Name kann variieren. Diese Aktion muss gelöscht werden, sie ist für den täglichen Neustart der Malware zuständig.
- In den Registry-Einträgen "Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist" und "Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge\ExtensionInstallForcelist" müssen die "Name"-Werte gelöscht werden.
- Anschließend ist noch das zugehörige Powershell-Skript zu löschen. Folgende Dateien kommen hierfür infrage:
- C:\Windows\system32\Privacyblockerwindows.ps1
- C:\Windows\system32\Windowsupdater1.ps1
- C:\Windows\system32\WindowsUpdater1Script.ps1
- C:\Windows\system32\Optimizerwindows.ps1
- C:\Windows\system32\Printworkflowservice.ps1
- C:\Windows\system32\NvWinSearchOptimizer.ps1 - 2024 version
- C:\Windows\system32\kondserp_optimizer.ps1 - May 2024 version
Zusammenfassung
- Malware in Chrome und Edge seit 2021 aktiv
- Erweiterungen bieten scheinbar nützliche Funktionen
- 300.000 Nutzer mit manipulierten Erweiterungen infiziert
- Malvertising imitiert populäre Webseiten
- Neuinstallation oft einziger Weg zur Entfernung
- Erweiterungen können nicht deaktiviert werden
- Entfernung erfordert Eingriff in Taskplaner und Registry
Siehe auch:
Thema:
Aktuelle Chrome-Downloads
Videos über den Chrome-Browser
-
Chrome: Das sind die neun Feineinstellungen für das Werbetracking
-
Chrome und Edge 100: So macht man den Browser bei Problemen fit
-
Screenshots kompletter Webseiten im Chrome: So klappt es einfach
-
Chrome: So holt ihr "https" und "www" zurück in die Adressleiste
-
Chrome 70 bringt Progressive Web Apps für Windows 10-Desktops
Beiträge aus dem Forum
-
Wie kann ich mir in Google Chrome Cookies anzeigen lassen?
DON666 -
PDF Icon / Logo / Symbol ändern von Chrome als PDF Viewer, nur das Ico
Liftboy -
Sollte ich von Chrome auf Firefox wechseln? Bitte um Hilfe
joe13 -
WIn11 aktiviert aber Updates gehen nicht und Chrome auch nicht
MSFreak -
Chrome Dateiprüfung ausschalten
Andrew0
Interessante Links
Neue Nachrichten
- Nach Flugzeugabsturz: Spielebranche trauert um Ubisoft-Gründer
- Galaxy Watch 9 & Ultra 2: Leak enthüllt Design der neuen Smartwatches
- Neue Weekend-Deals sind da: Media Markt & Saturn senken die Preise
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
- Ryzen-CPUs: AMD killt RAM-Verschlüsselung - und rudert jetzt zurück
- Windows 11 26H2: Microsoft veröffentlicht allererste Vorschau-Version
- Apple M6-Prozessoren: TSMC liefert erste 2nm-Chips für neue Macs
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen