Böswillige Erweiterungen
Nach jüngsten Statistiken seit November 2011 ist Google Chrome zum beliebtesten Browser in Brasilien geworden (mehr als 45% des Marktanteils). Das gleiche gilt für Facebook, das jetzt das beliebteste soziale Netzwerk in Brasilien ist, mit ungefähr 42 Millionen Nutzern.
Dadurch werden natürlich auch die Hacker und Spamer motiviert, ihre Aufmerksamkeit auf diese beiden Plattformen zu richten. In diesem Monat gab es eine riesige Welle von Angriffen auf brasilianische Nutzer von Facebook durch die Verteilung von bösartigen Erweiterungen.
Es gibt mehrere Themen die in diesen Angriffen genutzt werden, darunter "Ändern Sie die Farbe Ihres Profils" und "Entdecken Sie, wer Ihr Profil besucht". Daneben gibt es einige perfide Ansätze, wie "Erfahren Sie, wie Sie den Virus aus Ihrem Facebook-Profil entfernen können".
Diese letzte genannte Methode will nicht, dass man Trojaner oder ähnliches direkt installiert, sie empfiehlt eine Erweiterung im offiziellen Google Chrome Store. Wenn der Anwender dann diese Extension installieren will, wird er auf die offizielle Erweiterungsseite von Google Chrome weitergeleitet. Die verseuchte Extension tarnt sich selbst als "Adobe Flash Player".
Nach der Installation versucht der Angreifer die vollständige Kontrolle über das System des Opfers zu erlangen, indem zunächst eine weitere script-Datei heruntergeladen wird. Die Skriptdatei enthält Anweisungen, Befehle an das Facebook-Profil des Opfers zu senden, wie zum Beispiel die Verbreitung einer bösartigen Nachricht und lädt mehr Nutzer ein die gefälschte Erweiterung zu installieren.
Das Skript enthält auch Befehle, die das Profil des Opfers nutzen, um einige Seiten mit einem "Like" zu markieren. Warum? Sie werden am Ende dieses Artikels zu entdecken …
Kaspersky Labs hat als erster diese bösartige Erweiterung erkannt -Trojan.JS.Agent.bxo-, allerdings in einer früheren Version, die aber ähnliche Angriff versuchte. Es gab eine große Anzahl von infizierten Nutzern.
Die Erweiterung wurde an Google gemeldet und von den Verantwortlichen schnell entfernt. Aber die Angreifer hinter dieser Extension waren nicht untätig und haben weitere abgewandelte Extensions hochgeladen.
Die Frage ist sicher, wie diese verseuchten Erweiterungen zu Geld gemacht werden können. Eine Möglichkeit ist, die übernommenen Profile durch "Likes" an Firmen zu verkaufen, die ihre Stellung mit vielen Followers schmücken möchten.
Eins ist sicher: um "Likes" zu verkaufen, können diese übernommenen Profile gut genutzt werden. Also: seid vorsichtig beim benutzen von Facebook und denkt zweimal nach, bevor ihr irgendwelche Erweiterungen für Google Chrome installiert.
Feed abonnieren
Startseite