Mehr als 100.000 Rechner per Chrome-Erweiterungen infiziert

[English]Es ist mal wieder das alte Leid: Die Nutzer zerren sich Erweiterung für den Google Chrome-Browser auf ihr System – und infizieren so nebenbei die Geräte. Mehr als 100.000 Rechner sollen erneut per Chrome-Erweiterungen infiziert worden sein.


Anzeige

Die Information findet sich im Blog von Radware, wo letzte Woche der Artikel  Nigelthorn Malware Abuses Chrome Extensions to Cryptomine and Steal Data Details enthält. Die Zero-Day-Malware-Bedrohung wurde vom Radware Malware-Schutzdienst durch Einsatz von maschinellen Lernalgorithmen am 3. Mai 2018 bei einem der Kunden entdeckt.

Diese Malware-Kampagne verbreitet sich über Links auf Facebook und infiziert die Nutzer durch den Missbrauch einer Google Chrome-Erweiterung (die "Nigelify"-Anwendung), die einen Identitätsdiebstahl, Kryptomining, Klickbetrug und mehr durchführt.

Weitere Untersuchungen der Radware Threat Research Group haben ergeben, dass diese Nigelify-Gruppe seit mindestens März 2018 aktiv ist und bereits mehr als 100.000 Anwender in über 100 Ländern infiziert hat.

Facebook-Malware-Kampagnen sind nicht neu. Beispiele für ähnliche Operationen sind facexworm und digimine, aber diese Gruppe scheint bisher unentdeckt geblieben zu sein, dank der sich ständig ändernden Anwendungen und der Verwendung eines Ausweichmechanismus zur Verbreitung der Malware.


Anzeige

Nigelthorn
(Quelle: Radware)

Die von Radware "Nigelthorn" genannt Malware (da die ursprüngliche Nigelify-Anwendung Bilder durch "Nigel Thornberry" ersetzte leitet die Opfer auf eine gefälschte YouTube-Seite um und fordert den Benutzer auf, eine Chrome-Erweiterung zum Abspielen des Videos zu installieren.

Nigelthorn-Infektion
(Quelle: Radware)

Sobald der Benutzer auf "Add Extension" klickt, wird die bösartige Erweiterung installiert und der Rechner ist nun Teil des Botnetzes. Die Malware benötigt den Google Chrome-Browser, und läuft daher sowohl unter Windows als auch unter Linux.

Offenbar ist es den Malware-Machern gelungen, die Extension an Googles Validierungstools vorbei in den Chrome-Store zu schmuggeln. Die Hintermänner der Malware-Kampagne erstellten Kopien legitimer Erweiterungen und injizierten ein kurzes, verschleiertes bösartiges Skript, um die Malware-Operation zu starten. Folgendes Bild listet einige Extensions der Malware auf.

Nigelify-Extensions
(Quelle: Radware)

Sobald die Erweiterung auf dem Chrome-Browser installiert ist, wird ein bösartiges JavaScript ausgeführt. Diese lädt die ursprüngliche Konfiguration vom Command-Server herunter und kann dann die Schadfunktionen nachrüsten. Weitere Details sind diesem Artikel von Radware zu entnehmen. Arstechnica berichtete hier über das Thema, einen deutschsprachigen Beitrag gibt es bei Golem.


Anzeige

Dieser Beitrag wurde unter Google Chrome, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

5 Antworten zu Mehr als 100.000 Rechner per Chrome-Erweiterungen infiziert

  1. Harry sagt:

    Danke für diesen Artikel… Es ist echt erschreckend wie leicht es doch zu sein scheint solche Programme zu erstellen und auch wie leichtsinnig viele Leute im Internet agieren.

  2. Christian sagt:

    …tja, und wer sagt, dass das Zeugs nicht auch installiert wird, wenn man
    auf " Cancel" oder das "x" klickt (…ein Schelm, wer dabei an MICROSOFT
    denkt, nicht wahr…)?

    Ich würde den Browser eher per Task schliessen als noch was zu klicken
    bei dieser ominösen YouTube-Adresse und dem komischen Add-On.

    Aber wer schon so weit ist, der klickt dann halt auch vor lauter Geilheit
    auf das "18+"-Video den vielversprechenden Button…

    Gruss, Christian

    • Herr IngoW sagt:

      Was die "Google-Chrome-Erweiterungen" mit MS zu tun haben ist mir Rätselhaft.
      Die vielen unsinnigen Erweiterungen/Apps in Chrom sind schon ein Ärgernis, denn es gibt ja auch ein paar wenige davon die zu gebrauchen sind.
      Bei Google rutscht ja ständig sowas durch, aber wer diese "tollen" Apps/Erweiterungen unbedingt haben muss der muss damit dann leben.

  3. Exi sagt:

    …da die ursprüngliche Nigelify-Anwendung Bilder durch "Nigel Thornberry" ersetzte…
    …. wer sich sowas holt dem ist sowieso nicht mehr zu helfen…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.