Google entfernt 3 gefälschte VPN-Erweiterungen mit 1,5 Millionen Nutzern aus dem Chrome Web Store
Sicherheitsforscher von Reason Labs haben drei bösartige Chrome-Web-Erweiterungen entdeckt, die auf 1,5 Millionen Installationen des Webbrowsers installiert waren. Diese über Torrents verbreiteten Erweiterungen wirkten auf den ersten Blick wie legitime VPN-Erweiterungen.
Die Erweiterungen scheinen über Torrent-Dateien beliebter Videospiele verbreitet worden zu sein. Reason Labs erwähnt insbesondere Torrents von Grand Theft Auto, The Sims 4, Heroes 3 und Assassins Creed, aber es könnten auch andere Spiele gewesen sein. Das Unternehmen fand den Trojaner in über 1000 verschiedenen Torrent-Dateien, die Zugang zu kommerziellen Spielen versprachen.
Die heruntergeladenen Setup-Dateien waren zwischen 60 MB und 100 MB groß. Ein häufiger Unterzeichnername war Spice & Wok Limited, aber es gab auch andere.
Wenn das Installationsprogramm auf dem Gerät des Benutzers ausgeführt wird, entpackt es eine der drei bösartigen Erweiterungen auf dem System und installiert sie ohne Benutzerinteraktion im Browser. Die Erweiterung wird über einen Windows-Registrierungsschlüssel installiert, SOFTWARE\Google\Chrome\PreferenceMACs\Default\extensions.settings\.
Eine Methode zur Installation von Erweiterungen in Chrome, die den Benutzer vollständig umgeht, ist nicht neu. Bereits 2014 entdeckten Sicherheitsforscher eine Methode zur Installation von Chrome-Erweiterungen ohne jegliche Benutzerinteraktion.
Zwei unterschiedliche Erweiterungen, netSave für Chrome und netPlus für Microsoft Edge, werden auf dem System des Benutzers installiert. Die bösartige Chrome-Erweiterung wurde nach Angaben der Forscher 1 Million Mal installiert.
Der JavaScript-Code hat den Forschern zufolge mehr als 20.000 Zeilen, was seine Analyse erschwert. Die Forscher entdeckten, dass er ein gefälschtes VPN und einen so genannten Cashback-Aktivitäts-Hack ausführt.
Sobald die Erweiterung installiert ist, deaktiviert sie andere Cashback-Erweiterungen, die möglicherweise im infizierten Webbrowser installiert sind. Außerdem bietet sie eine gefälschte VPN-Benutzeroberfläche, um ihre wahren Absichten vor dem Benutzer zu verbergen.
Die Erweiterungen sind in russischer Sprache verfasst und zielen offenbar auf russischsprachige Regionen und Nutzer ab, darunter Russland, die Ukraine oder Kasachstan.
Reason Labs hat Google über die bösartigen Erweiterungen informiert. Google hat die Erweiterungen in der Zwischenzeit aus dem Chrome Web Store entfernt.
Chrome- und Edge-Nutzer, die Torrent-Dateien herunterladen, sollten die Liste der installierten Erweiterungen im Browser überprüfen, um sicherzustellen, dass diese Erweiterungen nicht auf ihren Geräten installiert sind.
Research Labs weist darauf hin, dass der Entwickler der Erweiterungen offenbar weitere Erweiterungen erstellt hat. Das Unternehmen empfiehlt, dass Benutzer nur Erweiterungen, Spiele und Programme aus legalen und legitimen Quellen installieren. Außerdem empfiehlt es, eine aktuelle Antiviren-Software zu verwenden, nicht auf unbekannte Links oder Popups zu klicken und, wo immer möglich, die Zwei-Faktor-Authentifizierung zu aktivieren.
Weitere Informationen, einschließlich technischer Details, finden Sie auf der Webseite von ReasonLabs.