GoogleWatchBlog

Phishing-Welle: Bis zu 4,8 Millionen Nutzer sind von entführten Chrome-Extensions betroffen

» Web-Version «

Normalerweise haben es Phisher auf die Zugangsdaten von Millionen Nutzern abgesehen und versuchen durch ganz verschiedene Methoden, an diese heranzukommen. Doch in den letzten Monaten waren auch Entwickler von populären Chrome-Extensions betroffen, wodurch der potenzielle Schaden deutlich größer geworden ist. Derzeit sind 8 Extensions bekannt, die „entführt“ worden sind und so bis zu 4,8 Millionen Endnutzer betreffen.


In den vergangenen Wochen ist schon die „Entführung“ von zwei populären Chrome-Extensions bekannt geworden: Copyfish und Web Developer waren betroffen und wurden jeweils mit der gleichen Methode gekapert. Anschließend haben die Entführer die Extension unter ihre Kontrolle gebracht und diese mit Code versehen, der beim Endnutzer Werbung anzeigt, mit der diese dann viel Geld verdienen – während der Nutzer vermutlich keine Ahnung hat, wo die Werbung plötzlich herkommt.

Wie jetzt bekannt wurde, sind oder waren aber noch weitere Extensions betroffen, wobei derzeit acht bekannt sind. Sie stammen von ganz verschiedenen Entwicklern und aus verschiedensten Bereichen. Insgesamt haben die Extensions zusammen eine Reichweite von 4,8 Millionen Nutzern – wobei aber natürlich auch Überschneidungen dabei sein können. Außerdem sind die meisten Extensions wieder unter der Kontrolle der rechtmäßigen Besitzer. Betroffen sind/waren folgende Extensions

  • Web Developer – Versions 0.4.9
  • Chrometana – Version 1.1.3
  • Infinity New Tab – Version 3.12.3
  • CopyFish – Version 2.8.5
  • Web Paint – Version 1.2.1
  • Social Fixer – Version 20.1.1
  • TouchVPN
  • Betternet VPN

Gekapert wurden sie alle nach dem gleichen Prinzip: Die Entwickler haben eine E-Mail bekommen, die sich als Info-Mail vom Chrome Web Store ausgegeben hat und damit drohte, die jeweilige Extension aufgrund von Verletzungen der Nutzungsbedingungen zu löschen, wenn keine weiteren Schritte unternommen werden. In der Mail befand sich dann ein Kurz-Link, der wiederum auf eine gefälschte Login-Seite führte und die Zugangsdaten des Entwicklers abgefragt hat. Sobald diese eingegeben wurden, hatten die Phisher die Zugangsdaten für die Extension.



Vermutlich haben in den letzten Monaten viele Entwickler solche E-Mails bekommen, aber der Großteil dürfte wohl nicht darauf hereingefallen sein. Durch diese Methode ist es den Angreifern trotzdem gelungen, nicht nur Millionen von Nutzern mit Werbung zu erreichen, sondern es wurden teilweise auch weitere sensible Daten entwendet: So wurden durch eine relativ simple Methode Cloudflare-Schlüssel entwendet, mit denen die Angreifer wiederum ganze Webseiten-Projekte umleiten könnten.

Im Blogpost von Wordfence gibt es viele weitere Details zu den Angriffen, zu der verwendeten Methode und auch genaue Codebeispiele und Screenshot vom eingeschleusten Code, den Schlüsseln und auch von der E-Mail selbst. Mit dieser Phishing-Methode lassen sich natürlich potenziell unzählige weitere Extensions kapern, und so lange die Entwickler keine Zwei-Faktor-Autorisierung für ihren Account verwenden, sind sie auch nicht 100%ig davor geschützt.

Die Chrome Extension-Welle ist nun schon die dritte große Angriffswelle auf Google-Nutzer in diesem Jahr: Anfang des Jahres gab es eine große GMail-Phishing-Welle und wenige Monate später sind durch Kombination von vielen Lücken Google Docs-Nutzer zu Opfern geworden. In beiden Fällen hat Google nachgebessert, aber beim Chrome Web Store sind derzeit keine Schritte bekannt.

» Ausführliche Beschreibung bei Wordfence

[Caschys Blog]


Keine Google-News mehr verpassen:
GoogleWatchBlog bei Google News abonnieren | Jetzt den GoogleWatchBlog-Newsletter abonnieren