Bösartiges Browser-Add-on für Firefox und Chrome

Trojaner verbreitet sich über Facebook-Freundesliste

| Redakteur: Stephan Augsten

Lustige und anzügliche YouTube-Videos sollen dazu verleiten, sich einen Trojaner herunterzuladen.
Lustige und anzügliche YouTube-Videos sollen dazu verleiten, sich einen Trojaner herunterzuladen. (Bild: Bitdefender)

Die Antivirus-Spezialisten von Bitdefender warnen vor einer Schadcodewelle, die von einer gefälschten YouTube-Website getragen wird. Vermeintlich lustige und pornographische Videos sollen zum Klicken animieren. Potenzielle Opfer werden zum Download eines vermeintlichen Flash-Player-Updates aufgefordert, hinter der sich ein Trojaner verbirgt.

Malware-Entwickler verbreiten derzeit einen Trojaner, der auf umfassende Internet-Browser-Daten zugreifen kann. Bitdefender hat den Schadcode untersucht und geht davon aus, dass dessen Ursprung in Albanien liegt. Die Malware wird per Social Engineering „promoted“, augenscheinlich teilt ein Facebook-Freund ein Video.

Klickt man auf den Link, wird eine gefälschte YouTube-Seite aufgerufen. Die Schadcode-Schreiber haben die Anzahl der Videoaufrufe manipuliert, um den Anschein von bereits über einer Millionen Klicks zu erwecken. Startet man das Video, kommt eine bekannte Masche zum Einsatz: der Nutzer wird auf ein vermeintliches Flash-Player-Update in Form einer EXE-Datei umgeleitet.

Die Malware-Entwickler haben mehr als 20.000 individuelle URLs für die Weiterleitungen angelegt. Web-Filter und Reputationsdienste umgehen die Cyber-Kriminelle mithilfe von 60 bit.ly-API-Schlüsseln, über die sie Kurz-URLs anlegen können. Diese Links werden dann über Facebook verbreitet. Da die API-Schlüssel zufällig ausgewählt werden, kann durch das Anlegen von Blacklists keine Abhilfe geschaffen werden. Bitdefender hat bit.ly bereits über den Missbrauch informiert.

Hartnäckiges Browser-Add-on

Auf dem lokalen Rechner wird unter anderem der Browser mithilfe eines Add-on-Frameworks infiziert. Die Datei wird von Bitdefender als Trojan.Agent.BDYV identifiziert. Sie hinterlegt ein passwortgeschütztes Archiv und eine BAT-Datei auf dem Rechner, die darauf ausgelegt ist, die EXE- Datei im Archiv auszuführen, nachdem das Passwort als Parameter angegeben wurde.

Gefährdet sind Firefox- und Chrome-Nutzer. In beiden Browsern werden durch das Add-on 20 Facebook-Freunde gleichzeitig markiert und Anzeigendienste auf der Seite eingeschleust. Die Erweiterung manipuliert zudem einige Funktionen des sozialen Netzwerks, um zu verhindern, dass Nutzer die schädlichen Einträge aus ihrer Chronik oder ihren Aktivitäten löschen.

Neben der Verbreitung von Malware „unterhält“ das betrügerische Add-on seine Opfer auch mit einer Reihe von URL-Umleitungen auf gefälschte Umfragen oder dem Abschluss von Abonnements für Premium-SMS-Dienste. Versucht der Nutzer, einen Blick auf die installierten Erweiterungen zu werfen (about://extensions), kann es passieren, dass der Schadcode den Add-on-Reiter schließt.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42845212 / Malware)