Wir haben in den letzten etwa 17 Jahren seit der Veröffentlichung der ersten Version seines Browsers durch Google eine ganze Reihe bösartiger Chrome-Erweiterungen gesehen. Von gefälschten VPN-Erweiterungen über völlig bösartige Erweiterungen bis hin zu ausgefeilter Session-Replay-Malware.
Folgendes ist passiert:Eine neue bösartige Art von Erweiterung, die so genannte polymorphe Erweiterung, wird derzeit verwendet, um Benutzer in freier Wildbahn anzugreifen.
Mehr Lektüre:Hacker könnten Ihre 1Password-Daten stehlen, aktualisieren Sie jetzt auf 8.10.36
Was ist eine polymorphe Erweiterung?Eine bösartige Erweiterung, die das Symbol und Verhalten anderer Erweiterungen vortäuscht, um Benutzerdaten zu stehlen.
Polymorphe Erweiterungen verhalten sich auf den ersten Blick wie legitime Erweiterungen. Sie sehen aus wie harmlose Erweiterungen, die einige Funktionen bieten. Ihr eigentlicher Zweck besteht darin, andere im Browser des Benutzers installierte Erweiterungen zu fälschen, um Daten zu stehlen.
Andere Erweiterungen fälschen, um Zugriff auf Benutzerdaten zu erhalten
Sicherheitsforscher beiSquareX Labsentdeckte die neue Art von Malware. Der grundsätzliche Ablauf ist immer derselbe. Es beginnt mit der Installation der legitim aussehenden, aber bösartigen Chrome-Erweiterung. Dies kann über den offiziellen Chrome Web Store oder über andere Kanäle erfolgen.
Die Erweiterung fordert den Benutzer auf, sein Symbol an die Chrome-Symbolleiste anzuheften. Viele Erweiterungen verlangen dies, da es einen schnelleren Zugriff auf die Funktionalität ermöglicht.
Während die Erweiterung wie angekündigt funktioniert, sucht sie nach hochwertigen Erweiterungen, die vom Benutzer installiert wurden. Dies können Passwort-Manager, Finanzerweiterungen oder jede andere Art von Erweiterung sein, die den Zugriff auf wertvolle Daten ermöglichen kann.
Während Chrome verhindert, dass Erweiterungen andere installierte Erweiterungen auflisten, gibt es Techniken, um diese Einschränkungen zu überwinden. Eine Möglichkeit besteht den Forschern zufolge darin, nach bestimmten Webressourcen zu suchen, die von den Zielerweiterungen verwendet werden.
Sobald Erweiterungen gefunden wurden, wird Schadcode ausgeführt, um sich als legitime Erweiterung auszugeben. Die Forscher geben ein Beispiel für eine angegriffene Passwort-Manager-Erweiterung.
Wenn der Benutzer eine Webseite mit einem Anmeldeformular besucht, deaktiviert die bösartige Erweiterung den Passwort-Manager vorübergehend und gibt sich als Passwort-Manager-Symbol in der Chrome-Symbolleiste aus. Eine HTML-Eingabeaufforderung fordert eine neue Anmeldung beim Passwort-Manager an, die aussieht, als käme sie vom Passwort-Manager.
Wenn der Benutzer die Authentifizierungsinformationen eingibt, werden diese an den Bedrohungsakteur weitergeleitet. Die bösartige Erweiterung ändert erneut ihr Symbol und aktiviert den Passwort-Manager erneut. Bei erneuter Aktivierung füllt der legitime Passwort-Manager die Passwortfelder aus, um den Benutzer anzumelden, was es schwierig macht, zu erkennen, was gerade passiert ist.
Mit den vorliegenden Anmeldeinformationen kann der Bedrohungsakteur auf den Passwort-Tresor des Benutzers zugreifen, um Daten abzurufen.
Die Forscher heben mehrere wichtige Angriffe hervor, die mithilfe polymorpher Erweiterungen ausgeführt werden können:
- Unerlaubter Transfer von Kryptowährungen mithilfe von Krypto-Wallets
- Unautorisierte Transaktionen über Banking-Apps
- Unbefugter Zugriff zum Überwachen, Schreiben und Versenden vertraulicher Dokumente/E-Mails mit Produktivitätstools (z. B. Grammatikprüfer, Automatisierungstools)
- Unbefugter Zugriff zum Lesen und Ändern der Codebasis über Entwicklertools
SquareX hat Google über diese neue Art bösartiger Erweiterung informiert. Obwohl es keinen direkten Schutz gegen polymorphe Erweiterungen gibt, können Benutzer Chrome-Erweiterungen überprüfen, bevor sie sie installieren.
Eine andere Möglichkeit besteht darin, unterschiedliche Profile oder sogar Browser für unterschiedliche Aktivitäten zu verwenden. Verwenden Sie einen Browser oder ein Profil für Aufgaben, die höchste Sicherheit erfordern. Dadurch wird die Aktivität von regulären Browsersitzungen getrennt, um die Sicherheit zu erhöhen.
Jetzt sind Sie an der Reihe. Überprüfen Sie Erweiterungen, bevor Sie sie installieren? Lassen Sie es uns im Kommentarbereich unten wissen.