Mehr als 100.000 Rechner per Chrome-Erweiterungen infiziert

[English]Es ist mal wieder das alte Leid: Die Nutzer zerren sich Erweiterung für den Google Chrome-Browser auf ihr System – und infizieren so nebenbei die Geräte. Mehr als 100.000 Rechner sollen erneut per Chrome-Erweiterungen infiziert worden sein.

Die Information findet sich im Blog von Radware, wo letzte Woche der Artikel  Nigelthorn Malware Abuses Chrome Extensions to Cryptomine and Steal Data Details enthält. Die Zero-Day-Malware-Bedrohung wurde vom Radware Malware-Schutzdienst durch Einsatz von maschinellen Lernalgorithmen am 3. Mai 2018 bei einem der Kunden entdeckt.

Diese Malware-Kampagne verbreitet sich über Links auf Facebook und infiziert die Nutzer durch den Missbrauch einer Google Chrome-Erweiterung (die "Nigelify"-Anwendung), die einen Identitätsdiebstahl, Kryptomining, Klickbetrug und mehr durchführt.

Weitere Untersuchungen der Radware Threat Research Group haben ergeben, dass diese Nigelify-Gruppe seit mindestens März 2018 aktiv ist und bereits mehr als 100.000 Anwender in über 100 Ländern infiziert hat.

Facebook-Malware-Kampagnen sind nicht neu. Beispiele für ähnliche Operationen sind facexworm und digimine, aber diese Gruppe scheint bisher unentdeckt geblieben zu sein, dank der sich ständig ändernden Anwendungen und der Verwendung eines Ausweichmechanismus zur Verbreitung der Malware.

(Quelle: Radware)

Die von Radware "Nigelthorn" genannt Malware (da die ursprüngliche Nigelify-Anwendung Bilder durch "Nigel Thornberry" ersetzte leitet die Opfer auf eine gefälschte YouTube-Seite um und fordert den Benutzer auf, eine Chrome-Erweiterung zum Abspielen des Videos zu installieren.

(Quelle: Radware)

Sobald der Benutzer auf "Add Extension" klickt, wird die bösartige Erweiterung installiert und der Rechner ist nun Teil des Botnetzes. Die Malware benötigt den Google Chrome-Browser, und läuft daher sowohl unter Windows als auch unter Linux.

Offenbar ist es den Malware-Machern gelungen, die Extension an Googles Validierungstools vorbei in den Chrome-Store zu schmuggeln. Die Hintermänner der Malware-Kampagne erstellten Kopien legitimer Erweiterungen und injizierten ein kurzes, verschleiertes bösartiges Skript, um die Malware-Operation zu starten. Folgendes Bild listet einige Extensions der Malware auf.

(Quelle: Radware)

Sobald die Erweiterung auf dem Chrome-Browser installiert ist, wird ein bösartiges JavaScript ausgeführt. Diese lädt die ursprüngliche Konfiguration vom Command-Server herunter und kann dann die Schadfunktionen nachrüsten. Weitere Details sind diesem Artikel von Radware zu entnehmen. Arstechnica berichtete hier über das Thema, einen deutschsprachigen Beitrag gibt es bei Golem.