Aufgepasst: Chrome Extension Malware hat sich entwickelt
Google hat die Malware der Chrome-Erweiterung bekämpft – aber die Bösewichte finden Wege, um ihrer Verteidigung immer einen Schritt voraus zu sein.
HOTLITTLE-KARTOFFEL
Sie wissen bereits, dass Sie bei Android-Anwendungen von Drittanbietern vorsichtig sein und sogar im Google Play Store aufpassen sollten. Eine Taschenlampen-App mit nur 12 Rezensionen könnte auch einige Malware verbergen. Aber Ihre hyperbrechenden Download-Gewohnheiten sollten über Ihr Smartphone hinausgehen. Sie müssen auch Ihre Desktop Chrome Erweiterungen im Auge behalten. hd plus verlängerung crack
Diese praktischen kleinen Applets bieten Ihnen einen nahtlosen Zugriff auf Dienste wie Evernote oder Passwortmanager oder legen Sie Ihren Bitmoji mit einem Klick weg. Wie bei Android-Apps können Chrome-Erweiterungen jedoch manchmal Malware oder andere Schikanen verbergen, selbst wenn Sie sie im offiziellen Chrome-Webshop installieren. Google sagt, dass böswillige Erweiterungsinstallationen in den letzten zweieinhalb Jahren um etwa 70 Prozent zurückgegangen sind, aber ein stetiger Strom neuester Forschungsergebnisse zeigt, dass das Problem und das Risiko für die Nutzer noch lange nicht gelöst ist.
„Was wir sehen, ist eine Zunahme der strafrechtlichen Nutzung von Erweiterungen“, sagt William Peteroy, CEO der Sicherheitsfirma Icebrg. „Und wenn wir anfangen, kriminelle Auffassungen von Dingen zu sehen, erfüllt es absolut unsere Messlatte, dass dies etwas ist, worauf wir achten müssen, und dass die Benutzer anfangen müssen, viel mehr Aufmerksamkeit zu schenken, als sie es gerade jetzt sind.“
Schleichende Angriffe
Andere Browser erleiden einen ähnlichen Ansturm, aber mit fast 60 Prozent Marktanteil werden Angriffe auf Chrome-Benutzer in der Regel die meisten Menschen betreffen, was sie zu einem primären Ziel für kriminelle Hacker macht. Icebrg hat kürzlich vier bösartige Erweiterungen im Chrome Web Store vorgestellt, die zusammen mehr als 500.000 Downloads enthalten. Die Erweiterungen traten als Standard-Dienstprogramme auf, mit Namen wie „Stickies“ und „Lite Bookmarks“. Die Forscher sahen jedoch Hinweise darauf, dass sie tatsächlich Teil von Klickbetrug waren, um die Einnahmen der Angreifer zu steigern. Und die Erweiterungen forderten genügend Privilegien, um noch mehr schnüffeln zu können, auf Dinge wie Benutzerdaten zuzugreifen und ihr Verhalten zu verfolgen. Google hat die vier Erweiterungen entfernt, nachdem Icebrg sie privat veröffentlicht hatte.
„Seit der Entwicklung der Erweiterungsplattform haben wir hart daran gearbeitet, das Ökosystem der Erweiterungen frei von Malware und Missbrauch zu halten“, sagt James Wagner, Produktmanager von Chrome bei Google. „Wir nutzen maschinelles Lernen, um bösartiges Verhalten in Erweiterungen zu erkennen, und… wir haben uns besonders darauf konzentriert, gegen missbräuchliche Verteilungsmethoden vorzugehen.“ Insbesondere hat das Chrome-Team daran gearbeitet, Situationen zu erkennen und zu blockieren, in denen Websites die Benutzer dazu drängen, eine Erweiterung zu erhalten, und sie manchmal in Ebenen von Installations-Popups gefangen halten, die versuchen, Personen zur Installation zu verleiten.
Trotz dieser Bemühungen werden jedoch regelmäßig böswillige Verlängerungskampagnen durchgeführt. Teil des Problems: Chrome ist bereits eine vertrauenswürdige Anwendung. Wenn Benutzer ihm die Erlaubnis erteilen, bestimmten Code auszuführen, wie z.B. eine Erweiterung, geben ihr Betriebssystem und die meisten Antivirenprodukte ihm normalerweise einen kostenlosen Pass. Und je mehr Systeme und Dienste in den Browser wie Microsoft 365 und Googles G-Suite eindringen, desto wertvoller sind Daten und Netzwerkzugriff, den eine schädliche Chrome-Erweiterung erhalten könnte.
Neben der Verteilung bösartiger Anwendungen über Mechanismen wie Phishing und kompromittierte Websites haben Angreifer auch Techniken verfeinert, um ihre Erweiterungen in den Chrome Web Store zu schmuggeln und sie dann nach dem Herunterladen aus der Ferne zu ändern, um böse Funktionen hinzuzufügen oder zu aktivieren.
Im Oktober entfernte Google drei Erweiterungen, die sich als AdBlock Plus ausgeben, von denen eine fast 40.000 Downloads hatte. Im selben Monat entdeckten die Forscher der Morphus Labs eine Erweiterung mit dem Namen „Catch-All“, die von einem Phishing-Versuch für WhatsApp-Anwender ausging, einen Adobe Acrobat-Installer imitierte und dann alle beim Surfen in Chrome eingegebenen Daten, einschließlich Benutzernamen und Passwörter, erfasste.
Im Dezember fanden Forscher des Internetsicherheitsunternehmens Zscaler eine Erweiterung, die Anmeldeinformationen, Cookies und Finanzdaten von Benutzern, die die Websites und Konten der Banco do Brasil besucht und sich dort eingeloggt haben, löschte. Und in diesem Monat veröffentlichte das Software-Sicherheitsunternehmen Malwarebytes Ergebnisse über eine Erweiterung (sowohl für Chrome als auch für Firefox) namens „Tiempo en colombia en vivo“, die sich zwang zu installieren, wenn Benutzer kompromittierte Webseiten besuchten und dann schwer zu deinstallieren waren. Der Malwarebytes-Forscher Pieter Arntz sagte, dass er nicht einmal vollständig analysieren könne, was die Operationen und Ziele der Erweiterung seien, da sie mit einer umfangreichen Verschleierung kodiert sei.
Wenn Hacker sich bemühen, die wahre Absicht von Software zu verbergen, deutet das im Allgemeinen darauf hin, dass ein Wettrüsten anhält. Verschleierung und Laufzeitänderungen sind die gleichen Techniken, mit denen Angreifer bösartige mobile Anwendungen in den Google Play Store und den App Store von Apple einbinden.
„Ich denke, die Exposition ist enorm“, sagt Jake Williams, ein Penetrationstester und Malware-Analyst.
