{"id":204267,"date":"2018-05-14T13:08:53","date_gmt":"2018-05-14T11:08:53","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=204267"},"modified":"2023-06-01T00:58:42","modified_gmt":"2023-05-31T22:58:42","slug":"mehr-als-100-000-rechner-per-chrome-erweiterungen-infiziert","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/05\/14\/mehr-als-100-000-rechner-per-chrome-erweiterungen-infiziert\/","title":{"rendered":"Mehr als 100.000 Rechner per Chrome-Erweiterungen infiziert"},"content":{"rendered":"

[English<\/a>]Es ist mal wieder das alte Leid: Die Nutzer zerren sich Erweiterung f\u00fcr den Google Chrome-Browser auf ihr System \u2013 und infizieren so nebenbei die Ger\u00e4te. Mehr als 100.000 Rechner sollen erneut per Chrome-Erweiterungen infiziert worden sein.<\/p>\n

<\/p>\n

\"\"Die Information findet sich im Blog von Radware, wo letzte Woche der Artikel\u00a0 Nigelthorn Malware Abuses Chrome Extensions to Cryptomine and Steal Data<\/a> Details enth\u00e4lt. Die Zero-Day-Malware-Bedrohung wurde vom Radware Malware-Schutzdienst durch Einsatz von maschinellen Lernalgorithmen am 3. Mai 2018 bei einem der Kunden entdeckt.<\/p>\n

Diese Malware-Kampagne verbreitet sich \u00fcber Links auf Facebook und infiziert die Nutzer durch den Missbrauch einer Google Chrome-Erweiterung (die \"Nigelify\"-Anwendung), die einen Identit\u00e4tsdiebstahl, Kryptomining, Klickbetrug und mehr durchf\u00fchrt.<\/p>\n

Weitere Untersuchungen der Radware Threat Research Group haben ergeben, dass diese Nigelify-Gruppe seit mindestens M\u00e4rz 2018 aktiv ist und bereits mehr als 100.000 Anwender in \u00fcber 100 L\u00e4ndern infiziert hat.<\/p>\n

Facebook-Malware-Kampagnen sind nicht neu. Beispiele f\u00fcr \u00e4hnliche Operationen sind facexworm und digimine, aber diese Gruppe scheint bisher unentdeckt geblieben zu sein, dank der sich st\u00e4ndig \u00e4ndernden Anwendungen und der Verwendung eines Ausweichmechanismus zur Verbreitung der Malware.<\/p>\n

\"Nigelthorn\"
\n(Quelle: Radware)<\/p>\n

Die von Radware \"Nigelthorn\" genannt Malware (da die urspr\u00fcngliche Nigelify-Anwendung Bilder durch \"Nigel Thornberry\" ersetzte leitet die Opfer auf eine gef\u00e4lschte YouTube-Seite um und fordert den Benutzer auf, eine Chrome-Erweiterung zum Abspielen des Videos zu installieren.<\/p>\n

\"Nigelthorn-Infektion\"
\n(Quelle: Radware)<\/p>\n

Sobald der Benutzer auf \"Add Extension\" klickt, wird die b\u00f6sartige Erweiterung installiert und der Rechner ist nun Teil des Botnetzes. Die Malware ben\u00f6tigt den Google Chrome-Browser, und l\u00e4uft daher sowohl unter Windows als auch unter Linux.<\/p>\n

Offenbar ist es den Malware-Machern gelungen, die Extension an Googles Validierungstools vorbei in den Chrome-Store zu schmuggeln. Die Hinterm\u00e4nner der Malware-Kampagne erstellten Kopien legitimer Erweiterungen und injizierten ein kurzes, verschleiertes b\u00f6sartiges Skript, um die Malware-Operation zu starten. Folgendes Bild listet einige Extensions der Malware auf.<\/p>\n

\"Nigelify-Extensions\"
\n(Quelle: Radware)<\/p>\n

Sobald die Erweiterung auf dem Chrome-Browser installiert ist, wird ein b\u00f6sartiges JavaScript ausgef\u00fchrt. Diese l\u00e4dt die urspr\u00fcngliche Konfiguration vom Command-Server herunter und kann dann die Schadfunktionen nachr\u00fcsten. Weitere Details sind diesem Artikel<\/a> von Radware zu entnehmen. Arstechnica berichtete hier<\/a> \u00fcber das Thema, einen deutschsprachigen Beitrag gibt es bei Golem<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Es ist mal wieder das alte Leid: Die Nutzer zerren sich Erweiterung f\u00fcr den Google Chrome-Browser auf ihr System \u2013 und infizieren so nebenbei die Ger\u00e4te. Mehr als 100.000 Rechner sollen erneut per Chrome-Erweiterungen infiziert worden sein.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1356,426],"tags":[406,4328],"class_list":["post-204267","post","type-post","status-publish","format-standard","hentry","category-google-chrome-internet","category-sicherheit","tag-chrome","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/204267","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=204267"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/204267\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=204267"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=204267"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=204267"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}