{"id":192690,"date":"2017-08-01T16:09:14","date_gmt":"2017-08-01T14:09:14","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=192690"},"modified":"2022-02-21T08:17:01","modified_gmt":"2022-02-21T07:17:01","slug":"chrome-erweiterung-coypfish-kompromittiert","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2017\/08\/01\/chrome-erweiterung-coypfish-kompromittiert\/","title":{"rendered":"Chrome Erweiterung CopyFish kompromittiert"},"content":{"rendered":"

Warnung all alle Benutzer des Google Chrome-Browsers, die die Extension CopyFish verwenden. Der Entwicklerzugang der Erweiterung wurde gehackt und Kriminelle verteilten eine kompromittierte Version dieser Erweiterung.<\/p>\n

<\/p>\n

\"\"Chrome-Erweiterungen erweisen sich zwischenzeitlich als beliebtes Einfallstor f\u00fcr Malware und Adware. Erst Mitte Juli 2017 hatte ich den Blog-Beitrag Chrome-Erweiterungen als Adware-Schleuder<\/a>, in dem ich auf ein Problem hinwies. Kriminelle kaufen Chrome-Extensions auf und versehen diese mit Adware, um Werbung im Browser einzublenden.<\/p>\n

Chrome-Erweiterung CopyFish<\/h2>\n

Die Erweiterung CopyFish ist eine OCR-Software und erm\u00f6glichte im Google Chrome-Browser durchaus sinnvolle Funktionen.<\/p>\n

\"CopyFish
\n(Quelle: Bleeping Computer)<\/p>\n

Man konnte aus Bildern, PDF-Dokumenten oder Scans Texte extrahieren und weiter verarbeiten. Die Erweiterung stand kostenlos im Google Chrome Extension-Store zur Verf\u00fcgung.<\/p>\n

Entwicklerkonto per Phishing gehackt<\/h2>\n

Statt die Erweiterung aufzukaufen, gingen Cyberkriminelle einen anderen Weg. Wie Bleeping Computer hier berichtet<\/a>, ist es einem unbekannten Hacker wohl letzten Freitag gelungen, die Zugangsdaten zum Google Entwicklerkonto zu erbeuten. Dazu schickte er dem Entwickler eine Phishing-Mail, angeblich vom Chrome-Team. Es wurde angegeben, die Chrome-Erweiterung zu aktualisieren, da sie andernfalls aus dem Store entfernt w\u00fcrde. Hier die Phishing-Mail, die die Entwickler ver\u00f6ffentlicht haben.<\/p>\n

\"Phishing-Mail\"<\/a><\/p>\n

Ein Entwickler fiel auf die Phishing-Mail herein und gab seine Zugangsdaten\u00a0 in einem Formular der Phisher, welches unter chromedev[dot]freshdesk[dot]com gehostet war, ein. Die Phisher zogen wohl die Chrome-Extension auf einen eigenen Account um und stellten am Samstag eine kompromittierte Version v2.8.5 der CopyFish-Erweiterung im Chrome Store ein. Diese kompromittierte Erweiterung blendet Werbung im Browser des Opfers ein.<\/p>\n

Die Entwickler der CopyFish-Erweiterung haben diesen Pos<\/a>t mit einer Warnung hinterlassen. Dort beschreiben Sie den entsprechenden Ablauf, wie der Account kompromittiert wurde. Die Entwickler haben bis jetzt wohl keinen Zugriff auf die Chrome-Erweiterung, das sie aus dem eigenen Entwicklerkonto verschwunden ist. Gestern, am 31. August 2017, wurde die Verteilung der kompromittierten CopyFish-Adware durch den UNPKG-Maintainer gestoppt \u2013 so dass keine neuen Versionen mehr verteilt werden k\u00f6nnen. Sprich: CopyFish ist auch nicht mehr als Chrome Erweiterung erh\u00e4ltlich. Das Google-Team arbeitet daran, dass die Entwickler wieder die Kontrolle \u00fcber ihre Erweiterung erhalten.<\/p>\n

Inzwischen hat ein CopyFish-Nutzer diesen Eintrag<\/a> bei HackerNews ver\u00f6ffentlicht, der das Problem beschreibt. Die mit protokollierte IP-Adresse der Phisher zeigt \u00fcbrigens auf ein Macbook, welches in Sankt Petersburg (Russland) unterwegs war.<\/p>\n","protected":false},"excerpt":{"rendered":"

Warnung all alle Benutzer des Google Chrome-Browsers, die die Extension CopyFish verwenden. Der Entwicklerzugang der Erweiterung wurde gehackt und Kriminelle verteilten eine kompromittierte Version dieser Erweiterung.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1356,426],"tags":[3637,5868,4328],"class_list":["post-192690","post","type-post","status-publish","format-standard","hentry","category-google-chrome-internet","category-sicherheit","tag-adware","tag-chrome-extension","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/192690","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=192690"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/192690\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=192690"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=192690"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=192690"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}