Raffiniert: Malwarekampagne versteckt Schadcode in Addon-Logos
Sicherheitsforscher haben eine neue Schadkampagne mit dem Namen "GhostPoster" öffentlich gemacht. Diese nimmt gezielt Nutzer des Firefox-Browsers ins Visier und greift dabei auf eine bemerkenswerte Methode zurück.
Laut des Sicherheitsunternehmens Koi Security, das GhostPoster entdeckte, verschafft sich die Malware dauerhaften Zugriff mit hohen Rechten innerhalb des Browsers. Dadurch können die Angreifer unter anderem Affiliate-Links auf bekannten Online-Marktplätzen manipulieren und Provisionen umleiten, Tracking-Code in jede besuchte Webseite einbauen sowie Klick- und Werbebetrug betreiben. Zudem entfernt die Schadsoftware Sicherheits-Header aus HTTP-Antworten und umgeht CAPTCHA-Schutzmechanismen mit mehreren Methoden.
Um unauffällig zu bleiben, agiert der Loader die meiste Zeit passiv. Der eigentliche Schadcode wird statistisch nur bei etwa jedem zehnten Versuch vom Server der Angreifer abgerufen, und das erst rund 48 Stunden nach der Installation. Sollte der Hauptserver nicht erreichbar sein, greift eine Ersatzdomain. Der nachgeladene Code ist stark verschleiert, mehrfach codiert und zusätzlich verschlüsselt, der aus der Laufzeit-ID der Erweiterung abgeleitet wird.
Mozilla hat inzwischen reagiert. Das Unternehmen teilte mit, alle betroffenen Erweiterungen aus dem offiziellen Add-on-Store entfernt und die automatischen Prüfmechanismen angepasst zu haben, um ähnliche Angriffe künftig schneller zu erkennen. Nutzer werden dennoch aufgefordert, installierte Erweiterungen zu überprüfen, verdächtige Add-ons zu deinstallieren und vorsorglich wichtige Zugangsdaten zu ändern.
Die manipulierten Add-ons lauten wie folgt:
Siehe auch:
Webseiten werden manipuliert
Der Schadcode ist in diesem Fall aber nicht offen im Quelltext der Erweiterungen zu finden, sondern wurde mithilfe von Steganografie in PNG-Grafiken verborgen, konkret im Logo der jeweiligen Erweiterung. Beim Laden liest die Erweiterung die Bilddatei aus, extrahiert den versteckten Code und führt ihn aus. Dieser fungiert als sogenannter Loader, der später weitere Schadsoftware von externen Servern nachlädt.Laut des Sicherheitsunternehmens Koi Security, das GhostPoster entdeckte, verschafft sich die Malware dauerhaften Zugriff mit hohen Rechten innerhalb des Browsers. Dadurch können die Angreifer unter anderem Affiliate-Links auf bekannten Online-Marktplätzen manipulieren und Provisionen umleiten, Tracking-Code in jede besuchte Webseite einbauen sowie Klick- und Werbebetrug betreiben. Zudem entfernt die Schadsoftware Sicherheits-Header aus HTTP-Antworten und umgeht CAPTCHA-Schutzmechanismen mit mehreren Methoden.
Um unauffällig zu bleiben, agiert der Loader die meiste Zeit passiv. Der eigentliche Schadcode wird statistisch nur bei etwa jedem zehnten Versuch vom Server der Angreifer abgerufen, und das erst rund 48 Stunden nach der Installation. Sollte der Hauptserver nicht erreichbar sein, greift eine Ersatzdomain. Der nachgeladene Code ist stark verschleiert, mehrfach codiert und zusätzlich verschlüsselt, der aus der Laufzeit-ID der Erweiterung abgeleitet wird.
Mozilla reagiert
Ausgangspunkt der Analyse war die Erweiterung "FreeVPN forever", die Koi Securitys KI-System auffiel, weil sie ungewöhnlich direkt auf die Rohdaten ihres Logo-Bildes zugriff. Zwar stehlen die bekannten Varianten keine Passwörter und leiten Nutzer nicht auf Phishing-Seiten um, dennoch stellt die Kampagne laut den Forschern ein erhebliches Risiko für Datenschutz und Sicherheit dar. Zudem warnen sie, dass mit derselben Technik jederzeit deutlich gefährlichere Schadfunktionen ausgeliefert werden könnten.Mozilla hat inzwischen reagiert. Das Unternehmen teilte mit, alle betroffenen Erweiterungen aus dem offiziellen Add-on-Store entfernt und die automatischen Prüfmechanismen angepasst zu haben, um ähnliche Angriffe künftig schneller zu erkennen. Nutzer werden dennoch aufgefordert, installierte Erweiterungen zu überprüfen, verdächtige Add-ons zu deinstallieren und vorsorglich wichtige Zugangsdaten zu ändern.
Die manipulierten Add-ons lauten wie folgt:
- free-vpn-forever
- screenshot-saved-easy
- weather-best-forecast
- crxmouse-gesture
- cache-fast-site-loader
- freemp3downloader
- google-translate-right-clicks
- google-traductor-esp
- world-wide-vpn
- dark-reader-for-ff
- translator-gbbd
- i-like-weather
- google-translate-pro-extension
- 谷歌-翻译
- libretv-watch-free-videos
- ad-stop
- right-click-google-translate
Zusammenfassung
- Neue Malware-Kampagne 'GhostPoster' versteckt Schadcode in PNG-Logos
- Betroffene Firefox-Erweiterungen laden über Steganografie verborgenen Code
- Malware manipuliert Affiliate-Links und betreibt Werbe- und Klickbetrug
- Raffinierter Loader aktiviert sich verzögert und nutzt Ausweich-Domains
- Schadcode wird durch mehrfache Codierung und Verschlüsselung geschützt
- Mozilla hat betroffene Add-ons entfernt und Prüfmechanismen angepasst
- Nutzer sollten installierte Erweiterungen überprüfen und Zugangsdaten ändern
Siehe auch:
Thema:
Beliebte Firefox-Downloads
Foren-Beiträge zum Firefox
Weiterführende Links
Neue Nachrichten
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
- Crash am Smartphonemarkt: Niedrigste Verkaufszahlen seit 13 Jahren
- Switch 2 OLED: Nintendo plant offenbar doch ein Display-Upgrade
- Pixel 11: Mega-Leak zeigt Bilder & Daten der neuen Google-Smartphones
- Insta360 X6: Technische Daten der neuen 8K/50FPS 360°-Actioncam
- Maps: Google startet großes Optik-Update mit immersiver Navigation
- OnePlus ist 'tot': Oppo will bald Rückzug aus EU & USA verkünden
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen