Gefahr Chrome-Erweiterung:
Diese Add-Ons kapern die Zwischenablage
Der Chrome Web Store wirkt sicher, doch der Schein trügt oft. Über 100.000 Nutzer installierten vermeintlich nützliche Tools, die im Hintergrund Passwörter abgriffen und Suchanfragen manipulierten. Um diese vier Erweiterungen geht es dabei.
Sicherheitsforscher haben jetzt erneut mehrere populäre Erweiterungen identifiziert, die zusammen mehr als 100.000 Nutzer erreichten und erhebliche Risiken bergen. Die Bedrohungen reichen von der Manipulation der Zwischenablage bis zum Aufbau einer vollständigen Command-and-Control-Infrastruktur. Trotz automatisierter Prüfmechanismen gelingt es Angreifern weiterhin, schädlichen Code in scheinbar legitimen Erweiterungen zu platzieren.
Deutlich aggressiver agierte die Erweiterung "Children Protection". Das als Jugendschutz beworbene Tool arbeitete im Hintergrund als Command-and-Control-System. Mithilfe sogenannter Domain Generation Algorithms hielt es Kontakt zu den Servern der Angreifer. Ziel war unter anderem das Abgreifen von Browser-Cookies, wodurch Sitzungen übernommen und Nutzerkonten kompromittiert werden konnten.
Folgende Erweiterungen stuften die Forscher als riskant ein:
Google wurde über die Vorfälle informiert und entfernte die betroffenen Erweiterungen aus dem Web Store. Der Fall zeigt jedoch, dass eine offizielle Listung keinen vollständigen Schutz bietet. Nutzer sollten Erweiterungen auf das Notwendige beschränken und Berechtigungen regelmäßig überprüfen.
Wie handhabt ihr die Sicherheit im Browser? Verlasst ihr euch auf die Prüfmechanismen der Stores oder nutzt ihr externe Sicherheitslösungen? Schreibt es uns in die Kommentare.
Siehe auch:
Unsichtbare Gefahr im Browser-Alltag
Der Google Chrome Web Store bietet eine große Auswahl an Erweiterungen für Alltag und Unterhaltung. Doch immer wieder geraten Nutzer dabei an schadhafte Anwendungen. Statt harmloser Zusatzfunktionen installieren sie teils unbemerkt Software mit weitreichenden Zugriffsrechten. Kriminelle nutzen dabei gezielt das Vertrauen in die offizielle Plattform aus.Sicherheitsforscher haben jetzt erneut mehrere populäre Erweiterungen identifiziert, die zusammen mehr als 100.000 Nutzer erreichten und erhebliche Risiken bergen. Die Bedrohungen reichen von der Manipulation der Zwischenablage bis zum Aufbau einer vollständigen Command-and-Control-Infrastruktur. Trotz automatisierter Prüfmechanismen gelingt es Angreifern weiterhin, schädlichen Code in scheinbar legitimen Erweiterungen zu platzieren.
Symantec deckt perfide Methoden auf
Wie das Sicherheitsunternehmen Symantec in einer aktuellen Analyse berichtet, setzen die Entwickler auf gezielte Verschleierung. Die Erweiterung "Good Tab" tarnte sich zum Beispiel als anpassbare "Neuer-Tab"-Seite, forderte jedoch Lese- und Schreibrechte für die Zwischenablage an. Über eine ungesicherte HTTP-Verbindung konnten so sensible Inhalte wie Passwörter oder Krypto-Adressen ausgelesen oder ausgetauscht werden.Deutlich aggressiver agierte die Erweiterung "Children Protection". Das als Jugendschutz beworbene Tool arbeitete im Hintergrund als Command-and-Control-System. Mithilfe sogenannter Domain Generation Algorithms hielt es Kontakt zu den Servern der Angreifer. Ziel war unter anderem das Abgreifen von Browser-Cookies, wodurch Sitzungen übernommen und Nutzerkonten kompromittiert werden konnten.
Gefahr durch Marken-Klone und XSS
Neben technischen Angriffen kam auch Social Engineering zum Einsatz. Die Erweiterung "DPS Websafe" orientierte sich optisch am bekannten Werbeblocker Adblock Plus, änderte jedoch im Hintergrund die Standardsuchmaschine und leitete Suchanfragen um. Die Erweiterung "Stock Informer" wiederum enthielt eine kritische Cross-Site-Scripting-Schwachstelle, über die beliebiger Code im Browser-Kontext ausgeführt werden konnte.Folgende Erweiterungen stuften die Forscher als riskant ein:
- Good Tab: Zugriff auf die Zwischenablage über externe Domains.
- Children Protection: Enthielt C&C-Funktionen und stahl Session-Cookies.
- DPS Websafe: Missbrauchte das Branding von Adblock Plus und manipulierte Suchergebnisse.
- Stock Informer: Wies eine kritische XSS-Schwachstelle auf.
Google wurde über die Vorfälle informiert und entfernte die betroffenen Erweiterungen aus dem Web Store. Der Fall zeigt jedoch, dass eine offizielle Listung keinen vollständigen Schutz bietet. Nutzer sollten Erweiterungen auf das Notwendige beschränken und Berechtigungen regelmäßig überprüfen.
Wie handhabt ihr die Sicherheit im Browser? Verlasst ihr euch auf die Prüfmechanismen der Stores oder nutzt ihr externe Sicherheitslösungen? Schreibt es uns in die Kommentare.
Welche Erweiterungen sind betroffen?
Sicherheitsforscher haben primär vier Chrome-Erweiterungen identifiziert: Good Tab, Children Protection, DPS Websafe und Stock Informer. Diese Add-ons haben zusammen eine Nutzerbasis von über 100.000 Installationen.
Prüfen Sie Ihre Browser-Umgebung umgehend auf diese Namen. Die Erweiterungen tarnen sich oft als nützliche Tools für Produktivität, Kinderschutz oder Finanzinformationen, führen aber im Hintergrund schädliche Aktionen aus.
Prüfen Sie Ihre Browser-Umgebung umgehend auf diese Namen. Die Erweiterungen tarnen sich oft als nützliche Tools für Produktivität, Kinderschutz oder Finanzinformationen, führen aber im Hintergrund schädliche Aktionen aus.
Welche Gefahren drohen konkret?
Die Risiken reichen von Datenschutzverletzungen bis hin zur kompletten Kompromittierung des Systems. Zu den beobachteten Aktivitäten gehören das Auslesen der Zwischenablage (Clipboard-Hijacking) und das Abgreifen von Session-Cookies.
In schwerwiegenden Fällen nutzen die Erweiterungen eine Command-and-Control-Infrastruktur (C&C), um Schadcode nachzuladen. Dies ermöglicht Angreifern potenziell, beliebigen JavaScript-Code in Ihren Browser-Tabs auszuführen (Remote Code Execution).
In schwerwiegenden Fällen nutzen die Erweiterungen eine Command-and-Control-Infrastruktur (C&C), um Schadcode nachzuladen. Dies ermöglicht Angreifern potenziell, beliebigen JavaScript-Code in Ihren Browser-Tabs auszuführen (Remote Code Execution).
Wie funktioniert der Clipboard-Hack?
Die Erweiterung "Good Tab" nutzt angeblich ein verstecktes iFrame, das über das Attribut allow="clipboard-read" Zugriff auf Ihre Zwischenablage erhält. Dies geschieht über eine ungesicherte HTTP-Verbindung.
Angreifer können so sensible kopierte Daten wie Passwörter oder Krypto-Wallet-Adressen auslesen. Eine gängige Taktik ist dabei das Austauschen der Zieladresse bei Transaktionen ("Check-and-Switch"), ohne dass der Nutzer es bemerkt.
Angreifer können so sensible kopierte Daten wie Passwörter oder Krypto-Wallet-Adressen auslesen. Eine gängige Taktik ist dabei das Austauschen der Zieladresse bei Transaktionen ("Check-and-Switch"), ohne dass der Nutzer es bemerkt.
Was macht "Children Protection"?
Diese Erweiterung gibt vor, Kinder vor schädlichen Webseiten zu schützen. Unter der Haube verbirgt sich jedoch laut Analysen ein C&C-Framework. Es sammelt Cookies und exfiltriert diese an externe Server, was Session-Hijacking ermöglicht.
Zudem nutzt die Software Algorithmen zur Generierung von Domains (DGA), um Ausfallsicherheit für die Angreifer zu gewährleisten. Dies ist ein Verhalten, das typischerweise eher bei komplexer Malware als bei Browser-Add-ons zu finden ist.
Zudem nutzt die Software Algorithmen zur Generierung von Domains (DGA), um Ausfallsicherheit für die Angreifer zu gewährleisten. Dies ist ein Verhalten, das typischerweise eher bei komplexer Malware als bei Browser-Add-ons zu finden ist.
Was bedeutet die XSS-Lücke?
Bei "Stock Informer" wurde eine kritische Cross-Site-Scripting-Schwachstelle (XSS) entdeckt (CVE-2020-28707). Ursache ist die unsichere Verwendung des Befehls eval() ohne ausreichende Herkunftsprüfung der Daten.
Ein Angreifer könnte dies ausnutzen, indem er Sie auf eine präparierte Webseite lockt. Dadurch könnte Schadcode im Kontext Ihrer Browser-Erweiterung ausgeführt werden, was Zugriff auf APIs oder lokale Speicherdaten ermöglichen würde.
Ein Angreifer könnte dies ausnutzen, indem er Sie auf eine präparierte Webseite lockt. Dadurch könnte Schadcode im Kontext Ihrer Browser-Erweiterung ausgeführt werden, was Zugriff auf APIs oder lokale Speicherdaten ermöglichen würde.
Wie schütze ich mich effektiv?
Vertrauen Sie nicht blind dem Chrome Web Store. Installieren Sie Erweiterungen nur, wenn sie absolut notwendig sind, und prüfen Sie vorab den Entwickler sowie die geforderten Berechtigungen kritisch.
Sicherheitslösungen für Endpunkte können helfen, bösartige Kommunikation zu blockieren. Sollten Sie eine der genannten Erweiterungen nutzen, deinstallieren Sie diese sofort und ändern Sie vorsichtshalber wichtige Passwörter.
Sicherheitslösungen für Endpunkte können helfen, bösartige Kommunikation zu blockieren. Sollten Sie eine der genannten Erweiterungen nutzen, deinstallieren Sie diese sofort und ändern Sie vorsichtshalber wichtige Passwörter.
Zusammenfassung
- Über 100000 Chrome-Nutzer installierten schädliche Erweiterungen
- Betrügerische Add-ons griffen Passwörter ab und manipulierten Suchanfragen
- Die Erweiterung Good Tab konnte heimlich auf die Zwischenablage zugreifen
- Children Protection agierte als verstecktes Command-and-Control-System
- DPS Websafe imitierte Adblock Plus und manipulierte Suchergebnisse
- Stock Informer enthielt eine gefährliche XSS-Schwachstelle
- Google entfernte die betroffenen Erweiterungen nach Benachrichtigung
Siehe auch:
Thema:
Aktuelle Chrome-Downloads
Videos über den Chrome-Browser
-
Chrome: Das sind die neun Feineinstellungen für das Werbetracking
-
Chrome und Edge 100: So macht man den Browser bei Problemen fit
-
Screenshots kompletter Webseiten im Chrome: So klappt es einfach
-
Chrome: So holt ihr "https" und "www" zurück in die Adressleiste
-
Chrome 70 bringt Progressive Web Apps für Windows 10-Desktops
Beiträge aus dem Forum
-
Wie kann ich mir in Google Chrome Cookies anzeigen lassen?
DON666 -
PDF Icon / Logo / Symbol ändern von Chrome als PDF Viewer, nur das Ico
Liftboy -
Sollte ich von Chrome auf Firefox wechseln? Bitte um Hilfe
joe13 -
WIn11 aktiviert aber Updates gehen nicht und Chrome auch nicht
MSFreak -
Chrome Dateiprüfung ausschalten
Andrew0
Interessante Links
Neue Nachrichten
- Ryzen-CPUs: AMD killt RAM-Verschlüsselung - und rudert jetzt zurück
- Windows 11 26H2: Microsoft veröffentlicht allererste Vorschau-Version
- Apple M6-Prozessoren: TSMC liefert erste 2nm-Chips für neue Macs
- Windows 11 26H2: Microsoft kündigt nächste OS-Version offiziell an
- VW ID.3 Neo GTI: Erlkönig des neuen Elektro-GTI wurde gesichtet
- Prime Day: Bei Amazon starten schon jetzt tolle Saugroboter-Deals
- James-Webb-Teleskop entdeckt Metallsalz-Wolken auf pinkem Exoplanet
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen