Bösartige Browser-Erweiterungen:
GhostPoster nicht zu stoppen
Sicherheitsforscher haben eine neue Welle bösartiger Browser-Erweiterungen entdeckt, die Teil der sogenannten GhostPoster-Kampagne sind. Insgesamt 17 Erweiterungen für Chrome, Firefox und Edge wurden erneut identifiziert.
Das unauffällige Vorgehen ermöglichte es den Angreifern, das Surfverhalten der Nutzer zu beobachten und eine Hintertür zu installieren. Die Schadsoftware lud zusätzlich ein stark verschleiertes Skript von externen Servern nach, das mehrere Zwecke erfüllte: Es manipulierte Affiliate-Links auf bekannten Shopping-Plattformen, um Provisionen umzuleiten, und es setzte unsichtbare iFrames ein, die für Werbebetrug und Click-Fraud genutzt wurden.
Ein neuer Bericht der Sicherheitsfirma LayerX zeigt nun, dass die Attacke nicht nur fortgeführt wird, sondern technisch weiterentwickelt wurde. Besonders auffällig ist eine Variante in der Erweiterung "Instagram Downloader", die eine ausgefeiltere Form des Schadcodes nutzt. Dabei wird die eigentliche Aktivierungslogik in das Hintergrundskript der Erweiterung verlagert.
Sorgen bereitet den Sicherheitsforschern auch die Tatsache, dass einige der inzwischen entdeckten Erweiterungen bereits seit 2020 in offiziellen Add-On-Stores verfügbar waren. Das unterstreicht, wie lange die Täter unbemerkt agieren konnten. Zwar wurden die betroffenen Erweiterungen inzwischen aus den Stores von Mozilla, Microsoft und Google entfernt. Nutzer, die sie bereits installiert haben, bleiben jedoch weiterhin gefährdet und sollten ihre Browser dringend überprüfen. Hier ist eine Liste aller gefundenen Erweiterungen, die Malware mitbringen:
Siehe auch:
Hunderttausende Installationen
Sie wurden laut der Analyse bereits rund 840.000 Mal installiert. Damit zeigt sich, dass die Angriffe weiterhin aktiv sind, obwohl die zugrundeliegende Kampagne bereits im Dezember erstmals öffentlich bekannt wurde. Damals hatten Sicherheitsforscher von Koi Security herausgefunden, dass GhostPoster-Entwickler JavaScript-Schadcode in den Logo-Bildern der Erweiterungen versteckten.Das unauffällige Vorgehen ermöglichte es den Angreifern, das Surfverhalten der Nutzer zu beobachten und eine Hintertür zu installieren. Die Schadsoftware lud zusätzlich ein stark verschleiertes Skript von externen Servern nach, das mehrere Zwecke erfüllte: Es manipulierte Affiliate-Links auf bekannten Shopping-Plattformen, um Provisionen umzuleiten, und es setzte unsichtbare iFrames ein, die für Werbebetrug und Click-Fraud genutzt wurden.
Ein neuer Bericht der Sicherheitsfirma LayerX zeigt nun, dass die Attacke nicht nur fortgeführt wird, sondern technisch weiterentwickelt wurde. Besonders auffällig ist eine Variante in der Erweiterung "Instagram Downloader", die eine ausgefeiltere Form des Schadcodes nutzt. Dabei wird die eigentliche Aktivierungslogik in das Hintergrundskript der Erweiterung verlagert.
Gut getarnt
Statt nur ein Icon zu missbrauchen, wird ein größeres Bildpaket als Tarnbehälter für den eingebetteten Code verwendet. Zur Laufzeit durchsucht das Skript die Rohdaten des Bildes nach einem markanten Trennzeichen, extrahiert den versteckten Inhalt, speichert ihn lokal und entschlüsselt ihn anschließend per Base64, bevor er als JavaScript ausgeführt wird. Laut LayerX deutet diese stufenweise Struktur auf eine zunehmende Modularität, Langlebigkeit und Tarnfähigkeit hin, sowohl gegenüber statischen Analysen als auch gegenüber verhaltensbasierten Erkennungsmethoden.Sorgen bereitet den Sicherheitsforschern auch die Tatsache, dass einige der inzwischen entdeckten Erweiterungen bereits seit 2020 in offiziellen Add-On-Stores verfügbar waren. Das unterstreicht, wie lange die Täter unbemerkt agieren konnten. Zwar wurden die betroffenen Erweiterungen inzwischen aus den Stores von Mozilla, Microsoft und Google entfernt. Nutzer, die sie bereits installiert haben, bleiben jedoch weiterhin gefährdet und sollten ihre Browser dringend überprüfen. Hier ist eine Liste aller gefundenen Erweiterungen, die Malware mitbringen:
- Google Translate in Right Click - 522.398 Installationen
- Translate Selected Text with Google - 159.645 Installationen
- Ads Block Ultimate - 48.078 Installationen
- Floating Player - PiP Mode - 40.824 Installationen
- Convert Everything - 17.171 Installationen
- Youtube Download - 11.458 Installationen
- One Key Translate - 10.785 Installationen
- AdBlocker - 10.155 Installationen
- Save Image to Pinterest on Right Click - 6517 Installationen
- Instagram Downloader - 3807 Installationen
- RSS-Feed - 2781 Installationen
- Cool Cursor - 2254 Installationen
- Full Page Screenshot - 2000 Installationen
- Amazon Price History - 1197 Installationen
- Color Enhancer - 712 Installationen
- Translate Selected Text with Right Click - 283 Installationen
- Page Screenshot Clipper - 86 Installationen
Zusammenfassung
- Sicherheitsforscher entdeckten 17 bösartige Browser-Erweiterungen
- GhostPoster-Kampagne mit 840000 Installationen bleibt trotz Entdeckung aktiv
- Schadcode versteckt sich in Logo-Bildern und manipuliert Affiliate-Links
- Neue Variante nutzt ausgefeilteren Code und größere Bildpakete als Tarnung
- Einige Erweiterungen waren seit 2020 in offiziellen Add-On-Stores verfügbar
- Betroffene Nutzer bleiben trotz Entfernung aus den Stores weiter gefährdet
Siehe auch:
Thema:
Aktuelle Chrome-Downloads
Videos über den Chrome-Browser
-
Chrome: Das sind die neun Feineinstellungen für das Werbetracking
-
Chrome und Edge 100: So macht man den Browser bei Problemen fit
-
Screenshots kompletter Webseiten im Chrome: So klappt es einfach
-
Chrome: So holt ihr "https" und "www" zurück in die Adressleiste
-
Chrome 70 bringt Progressive Web Apps für Windows 10-Desktops
Beiträge aus dem Forum
-
Wie kann ich mir in Google Chrome Cookies anzeigen lassen?
DON666 -
PDF Icon / Logo / Symbol ändern von Chrome als PDF Viewer, nur das Ico
Liftboy -
Sollte ich von Chrome auf Firefox wechseln? Bitte um Hilfe
joe13 -
WIn11 aktiviert aber Updates gehen nicht und Chrome auch nicht
MSFreak -
Chrome Dateiprüfung ausschalten
Andrew0
Interessante Links
Neue Nachrichten
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
- Ryzen-CPUs: AMD killt RAM-Verschlüsselung - und rudert jetzt zurück
- Windows 11 26H2: Microsoft veröffentlicht allererste Vorschau-Version
- Apple M6-Prozessoren: TSMC liefert erste 2nm-Chips für neue Macs
- Windows 11 26H2: Microsoft kündigt nächste OS-Version offiziell an
- VW ID.3 Neo GTI: Erlkönig des neuen Elektro-GTI wurde gesichtet
- Prime Day: Bei Amazon starten schon jetzt tolle Saugroboter-Deals
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen