![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Zum Wochenabschluss noch eine Warnung an Nutzer des Google Chrome, die gerne Chrome-Erweiterungen verwenden. In einer Malware-Kampagne versuchen Cyber-Kriminelle mit einem trickreichen Ansatz eine unsaubere Chrome-Erweiterung unter die Nutzer zu bringen. Es reicht der Besuch einer kompromittierten Webseite, um die Erweiterung untergejubelt zu bekommen. <\/p>\n
<\/p>\n
Der Angriff im Rahmen der Malware-Kampagne richtet sich gezielt an Nutzer des Google Chrome. Besuchen die Nutzer eine kompromittierte Webseite, und wird der Google Chrome am User Agent-String identifiziert, kann der Nutzer diese Webseite nicht mehr verlassen. Vielmehr wird er aufgefordert, eine Chrome-Erweiterung zu installieren. Nachfolgend wird der Angriff in einem Screenshot demonstriert \u2013 das im Vordergrund sichtbare Dialogfeld informiert den Benutzer, dass er die Erweiterung installieren muss, um die Webseite verlassen zu k\u00f6nnen. <\/p>\n
![](\"https:\/\/web.archive.org\/web\/20170717111511\/https:\/\/blog.malwarebytes.com\/wp-content\/uploads\/2017\/02\/traffic.png\")
(Quelle: MalwareBytes)<\/p>\n
Der Benutzer k\u00f6nnte dann den Google Chrome zwar im Task-Manager abschie\u00dfen. Aber das wissen die Nutzer meistens nicht. Stimmt der Nutzer der Installation der Chrome Erweiterung zu, versteckt sich diese unter einem 1\u00d71 Pixel gro\u00dfen Bild in der Seite mit den installierten Chrome-Erweiterungen. Gleichzeitig f\u00e4ngt die Erweiterung die Befehle chrome:\/\/extensions<\/em> und chrome:\/\/settings<\/em> im Browser ab. Der Versuch, diese aufzurufen, f\u00fchrt zu einer Umleitung auf chrome:\/\/apps<\/em>. <\/p>\n Das obige animierte Bild zeigt die Apps-Seite (der erste Eintrag scheint leer zu sein, ist aber von der Erweiterung mit dem 1×1 Pixel belegt). Gibt man einen der URL-Befehle zum Zugriff auf die Extensions ein, landet man wieder bei der Liste der Chrome-Extensions. Das macht es f\u00fcr normale Nutzer schwierig, zu erkennen, welche Chrome-Erweiterungen vorhanden sind. <\/p>\n Zweck der Chrome-Erweiterung, die \u00fcber einen C&C-Server mit Befehlen versorgt werden kann, ist die Anzeige von Werbung (Ad Fraud) und der Versuch, den Nutzer mit angeblichen Computerfehlern (Tech Scam) zum Anruf einer Support-Nummer zu bewegen. Weitere Details sind bei MalwareBytes in diesem englischsprachigen Blog-Beitrag<\/a> dokumentiert. <\/p>\n","protected":false},"excerpt":{"rendered":" Zum Wochenabschluss noch eine Warnung an Nutzer des Google Chrome, die gerne Chrome-Erweiterungen verwenden. In einer Malware-Kampagne versuchen Cyber-Kriminelle mit einem trickreichen Ansatz eine unsaubere Chrome-Erweiterung unter die Nutzer zu bringen. Es reicht der Besuch einer kompromittierten Webseite, um die … Weiterlesen ![](\"https:\/\/web.archive.org\/web\/20170717110039\/https:\/\/blog.malwarebytes.com\/wp-content\/uploads\/2017\/02\/redirection2.gif\"\/)
(Quelle: MalwareBytes)<\/p>\n![](\"https:\/\/web.archive.org\/web\/20170717113129\/https:\/\/blog.malwarebytes.com\/wp-content\/uploads\/2017\/02\/TSS1.png\")
(Quelle: MalwareBytes)<\/p>\n