Adware in Web Developer Plugin und Copyfish

Kriminelle hacken populäre Chrome-Plugins

| Autor / Redakteur: Moritz Jäger / Peter Schmitz

Kriminelle haben es auf Chrome-Plugins abgesehen. Per Phishing stehlen sie die Zugangsdaten um anschließend Adware-verseuchte Versionen auszuliefern.
Kriminelle haben es auf Chrome-Plugins abgesehen. Per Phishing stehlen sie die Zugangsdaten um anschließend Adware-verseuchte Versionen auszuliefern. (Bild: pixabay / CC0)

Adware-verseuchte Versionen von Chrome-Plugins treten derzeit verstärkt auf. Opfer sind unter anderem das beliebte Web Developer Plugin und das OCR-Plugin Copyfish. Angreifer haben durch gezielte Phishing-Attacken auf die Entwickler der Chrome-Erweiterungen Zugriff auf deren Zugangsdaten zur Entwicklerseite von Chrome erlangt und dann innerhalb kürzester Zeit die Plugins mit Adware infiziert und als Update verteilt.

Zwei populäre Chrome wurden Ziel eines Hacking-Angriffs: Sowohl das Web Developer Plugin wie auch Copyfish, eine OCR-Lösung für Chrome, wurden nachträglich mit Adware ausgestattet – die Macher wurden in beiden Fällen per Phishing-Attacke um ihre Zugangsdaten gebracht.

Die Fälle ähneln sich massiv: Sowohl der Entwickler des Web Developer Plugins wie auch von Copyfish berichten, dass sie eine E-Mail erhielten, die angeblich von Google kam. Darin wird ihnen vorgeworfen, dass ihre Plugins nicht den Vorgaben des Chrome-Stores entspricht. Sie klickten den Link in der E-Mail und landeten auf einer gut gemachten Fälschung der Entwicklerseite für Chrome. Beide gaben die Zugangsdaten ein und dachten sich nichts weiter.

Bereits kurze Zeit später häuften sich die Meldungen, dass verstärkt Adware bei den Nutzern der jeweiligen Erweiterungen auftrat. Beide Entwickler stellten überrascht fest, dass irgendjemand eine neue Version der jeweiligen Erweiterung in den Chrome-Store hochgeladen und über die Update-Funktion an die Nutzer verteilt hat. Im Fall von Copyfish wurden die Entwickler sogar vom Account ausgeschlossen und hatten keinen Zugriff mehr auf die Erweiterung.

Inzwischen sind beide Erweiterungen wieder unter der Kontrolle der Entwickler, Nutzer sollten schnellstmöglich die aktuellen Versionen installieren. Laut den Machern von Copyfish kamen die Änderungen von einem Macbook, die IP war angeblich in Russland – das lässt sich aber über einen VPN leicht fälschen.

Weiter Infektionen wahrscheinlich

Die Attacken auf die beiden populären Plugins waren extrem gut gemacht. Die Phishing-Seiten und die E-Mails waren auf die Entwickler abgestimmt und die verseuchten Updates wurden innerhalb kurzer Zeit an die Nutzer ausgerollt. Es liegt auf der Hand, dass weitere Plugins angegriffen wurden. Sollten Sie seltsames Verhalten feststellen, seien Sie extrem vorsichtig.

Die Angriffe zeigen sehr gut, wie durchtrieben Kriminelle vorgehen. Eine Attacke auf ein installiertes Plugin, damit rechnet kein Nutzer. Vor allem, wenn die Erweiterungen an sich sicher sind und man sie bereits länger im Einsatz hat. Es wird aber auch klar, dass Entwickleraccounts dringend mindestens mit einer Zwei-Faktor-Authentifizierung (2FA) abgesichert sein müssten. Es steht zu hoffen, dass Google hier bald entsprechend verpflichtende Vorgaben macht.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44820449 / Sicherheitslücken)