Raffiniert: Malwarekampagne versteckt Schadcode in Addon-Logos

Sicherheitsforscher haben eine neue Schadkampagne mit dem Na­men "GhostPoster" öffentlich gemacht. Diese nimmt gezielt Nutzer des Firefox-Browsers ins Visier und greift dabei auf eine be­mer­kens­wer­te Methode zurück.
Sicherheit, Sicherheitslücke, Leak, Hacker, Security, Malware, Angriff, Hack, Kriminalität, Trojaner, Virus, Schadsoftware, Cybersecurity, Exploit, Cybercrime, Hacking, Hackerangriff, Internetkriminalität, Erpressung, Warnung, Darknet, Hacker Angriff, Hacker Angriffe, Hacken, Attack, Ransom, Hacks, Crime, Russische Hacker, Viren, Gehackt, Schädling, China Hacker, Security Report, Malware Warnung, Security Bulletin, Promi-Hacker, Android Malware

Webseiten werden manipuliert

Der Schadcode ist in diesem Fall aber nicht offen im Quelltext der Erweiterungen zu finden, sondern wurde mithilfe von Steganografie in PNG-Grafiken verborgen, konkret im Logo der jeweiligen Erweiterung. Beim Laden liest die Erweiterung die Bilddatei aus, extrahiert den versteckten Code und führt ihn aus. Dieser fungiert als sogenannter Loader, der später weitere Schadsoftware von externen Servern nachlädt.

Laut des Sicherheitsunternehmens Koi Security, das GhostPoster entdeckte, verschafft sich die Malware dauerhaften Zugriff mit hohen Rechten innerhalb des Browsers. Dadurch können die Angreifer unter anderem Affiliate-Links auf bekannten Online-Marktplätzen manipulieren und Provisionen umleiten, Tracking-Code in jede besuchte Webseite einbauen sowie Klick- und Werbebetrug betreiben. Zudem entfernt die Schadsoftware Sicherheits-Header aus HTTP-Antworten und umgeht CAPTCHA-Schutzmechanismen mit mehreren Methoden.


Um unauffällig zu bleiben, agiert der Loader die meiste Zeit passiv. Der eigentliche Schadcode wird statistisch nur bei etwa jedem zehnten Versuch vom Server der Angreifer abgerufen, und das erst rund 48 Stunden nach der Installation. Sollte der Hauptserver nicht erreichbar sein, greift eine Ersatzdomain. Der nachgeladene Code ist stark verschleiert, mehrfach codiert und zusätzlich verschlüsselt, der aus der Laufzeit-ID der Erweiterung abgeleitet wird.

Mozilla reagiert

Ausgangspunkt der Analyse war die Erweiterung "FreeVPN forever", die Koi Securitys KI-System auffiel, weil sie ungewöhnlich direkt auf die Rohdaten ihres Logo-Bildes zugriff. Zwar stehlen die bekannten Varianten keine Passwörter und leiten Nutzer nicht auf Phishing-Seiten um, dennoch stellt die Kampagne laut den Forschern ein erhebliches Risiko für Datenschutz und Sicherheit dar. Zudem warnen sie, dass mit derselben Technik jederzeit deutlich gefährlichere Schadfunktionen ausgeliefert werden könnten.

Mozilla hat inzwischen reagiert. Das Unternehmen teilte mit, alle betroffenen Erweiterungen aus dem offiziellen Add-on-Store entfernt und die automatischen Prüfmechanismen angepasst zu haben, um ähnliche Angriffe künftig schneller zu erkennen. Nutzer werden dennoch aufgefordert, installierte Erweiterungen zu überprüfen, verdächtige Add-ons zu deinstallieren und vorsorglich wichtige Zugangsdaten zu ändern.

Die manipulierten Add-ons lauten wie folgt:

  • free-vpn-forever
  • screenshot-saved-easy
  • weather-best-forecast
  • crxmouse-gesture
  • cache-fast-site-loader
  • freemp3downloader
  • google-translate-right-clicks
  • google-traductor-esp
  • world-wide-vpn
  • dark-reader-for-ff
  • translator-gbbd
  • i-like-weather
  • google-translate-pro-extension
  • 谷歌-翻译
  • libretv-watch-free-videos
  • ad-stop
  • right-click-google-translate

Zusammenfassung
  • Neue Malware-Kampagne 'GhostPoster' versteckt Schadcode in PNG-Logos
  • Betroffene Firefox-Erweiterungen laden über Steganografie verborgenen Code
  • Malware manipuliert Affiliate-Links und betreibt Werbe- und Klickbetrug
  • Raffinierter Loader aktiviert sich verzögert und nutzt Ausweich-Domains
  • Schadcode wird durch mehrfache Codierung und Verschlüsselung geschützt
  • Mozilla hat betroffene Add-ons entfernt und Prüfmechanismen angepasst
  • Nutzer sollten installierte Erweiterungen überprüfen und Zugangsdaten ändern

Siehe auch:
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!