X

Fake-VPN-Chrome-Erweiterung wird millionenfach "zwangsinstalliert"

Sicherheitsexperten warnen jetzt vor gefälschten Chrome- und Edge-Erweiterungen, die Nutzer ausspionieren und Daten stehlen, aber durch andere Software-Downloads im Huckepack auf die PCs ihrer Opfer kommen. Die Manipulation bleibt so lange unerkannt.
23.12.2023  11:03 Uhr

Manipulierte Spiele zur Verbreitung

Das meldet das Online-Magazin Bleeping Computer. Entdeckt wurde die Bedrohung durch ReasonLabs. Die Experten entdeckten, dass sich die bösartigen Erweiterungen über ein Installationsprogramm verbreiten, das in beliebten Spielen wie Grand Theft Auto, Assassins Creed und The Sims 4 versteckt ist, die über Torrent-Seiten verbreitet werden. Die Hacker nutzen dabei also die Bereitschaft der Menschen aus, die Sicherheit ihres Computers zu riskieren, um nicht für Premium-Anwendungen bezahlen zu müssen.


Konkret entdeckte ReasonLabs nun drei bösartige Chrome-Erweiterungen, die sich als VPN (Virtual Private Networks) ausgeben. Sie wurden laut der Analyse mehr als 1,5 Millionen Mal heruntergeladen und fungieren nach ihrer Aktivierung als Browser-Hijacker, Cashback-Hacking-Tools und Datendiebe.

Erst Anfang des Monats berichteten wir über eine ähnliche Masche, mit der unbekannte Cyberkriminelle diverse Schadsoftware über Torrent-Websites verbreiteten. In dem neuen Fall wurde Google bereits informiert, dass drei schädliche Erweiterungen entdeckt wurden. Sie wurden aus dem Chrome Web Store entfernt. Es handelt sich um netPlus, netSave und netWin.

Die meisten Infektionen auf PCs fand ReasonLabs bisher in Russland und Ländern wie der Ukraine, Kasachstan und Weißrussland. Es ist aber nicht sicher, ob es auch weitere Kampagnen derart weltweit gibt, die noch aktiv sind.

Einschleusen gefälschter VPN-Erweiterungen

ReasonLabs entdeckte über tausend verschiedene Torrent-Dateien, die die bösartige Installationsdatei für die Browser-Erweiterungen mitliefern. Die Installation der VPN-Erweiterungen erfolgt dann automatisch und zwangsweise auf der Registrierungsebene, ohne dass der Benutzer involviert ist oder das Opfer selbst tätig wird.

Regelmäßige Passwortänderung für Deutsche kaum ein Thema
Infografik: Regelmäßige Passwortänderung für Deutsche kaum ein Thema

Schließlich prüft das Installationsprogramm, ob Antivirenprodukte auf dem infizierten Computer vorhanden sind, und legt dann netSave für Google Chrome und netPlus für Microsoft Edge ab, um beide Anwendungsfälle abzudecken.

Das alles macht den Trick auch neu, denn die Hinterleute verlassen sich nicht mehr einfach darauf, dass ihre manipulierte Erweiterung von Nutzern aktiv geladen wird. Dieser Bericht verdeutlicht die massiven Sicherheitsprobleme im Zusammenhang mit Webbrowser-Erweiterungen, von denen viele stark verschleiert sind, sodass es schwierig ist, ihr Verhalten zu erkennen und ihnen auf die Schliche zu kommen.

Als Tipp gibt ReasonLabs Nutzern mit auf dem Weg, dass sie ihren Browser routinemäßig auf installierte Erweiterungen überprüfen und nach neuen Bewertungen im Chrome Web Store suchen, um zu sehen, ob andere Nutzer über bösartiges Verhalten berichten.

Zusammenfassung
  • Gefälschte Browser-Erweiterungen spionieren Nutzer aus
  • Erweiterungen kommen mit Downloads von Spielen auf PCs
  • ReasonLabs entdeckt drei schädliche Chrome-VPN-Erweiterungen
  • Schädliche Erweiterungen aus Chrome Store entfernt
  • Infektionen hauptsächlich in Russland und Nachbarländern
  • Über 1000 Torrent-Dateien verbreiten bösartige Software
  • Installationsprogramm umgeht Antivirus und Nutzeraktion
  • ReasonLabs rät zur regelmäßigen Überprüfung von Erweiterungen
Verwandte Themen
Chrome
☀ Tag- / 🌙 Nacht-Modus
Desktop-Version anzeigen
Impressum
Datenschutz
Cookies
© 2024 WinFuture