Suchen

Bösartiges Browser-Add-on für Firefox und Chrome Trojaner verbreitet sich über Facebook-Freundesliste

| Redakteur: Stephan Augsten

Die Antivirus-Spezialisten von Bitdefender warnen vor einer Schadcodewelle, die von einer gefälschten YouTube-Website getragen wird. Vermeintlich lustige und pornographische Videos sollen zum Klicken animieren. Potenzielle Opfer werden zum Download eines vermeintlichen Flash-Player-Updates aufgefordert, hinter der sich ein Trojaner verbirgt.

Firmen zum Thema

Lustige und anzügliche YouTube-Videos sollen dazu verleiten, sich einen Trojaner herunterzuladen.
Lustige und anzügliche YouTube-Videos sollen dazu verleiten, sich einen Trojaner herunterzuladen.
(Bild: Bitdefender)

Malware-Entwickler verbreiten derzeit einen Trojaner, der auf umfassende Internet-Browser-Daten zugreifen kann. Bitdefender hat den Schadcode untersucht und geht davon aus, dass dessen Ursprung in Albanien liegt. Die Malware wird per Social Engineering „promoted“, augenscheinlich teilt ein Facebook-Freund ein Video.

Klickt man auf den Link, wird eine gefälschte YouTube-Seite aufgerufen. Die Schadcode-Schreiber haben die Anzahl der Videoaufrufe manipuliert, um den Anschein von bereits über einer Millionen Klicks zu erwecken. Startet man das Video, kommt eine bekannte Masche zum Einsatz: der Nutzer wird auf ein vermeintliches Flash-Player-Update in Form einer EXE-Datei umgeleitet.

Die Malware-Entwickler haben mehr als 20.000 individuelle URLs für die Weiterleitungen angelegt. Web-Filter und Reputationsdienste umgehen die Cyber-Kriminelle mithilfe von 60 bit.ly-API-Schlüsseln, über die sie Kurz-URLs anlegen können. Diese Links werden dann über Facebook verbreitet. Da die API-Schlüssel zufällig ausgewählt werden, kann durch das Anlegen von Blacklists keine Abhilfe geschaffen werden. Bitdefender hat bit.ly bereits über den Missbrauch informiert.

Hartnäckiges Browser-Add-on

Auf dem lokalen Rechner wird unter anderem der Browser mithilfe eines Add-on-Frameworks infiziert. Die Datei wird von Bitdefender als Trojan.Agent.BDYV identifiziert. Sie hinterlegt ein passwortgeschütztes Archiv und eine BAT-Datei auf dem Rechner, die darauf ausgelegt ist, die EXE- Datei im Archiv auszuführen, nachdem das Passwort als Parameter angegeben wurde.

Gefährdet sind Firefox- und Chrome-Nutzer. In beiden Browsern werden durch das Add-on 20 Facebook-Freunde gleichzeitig markiert und Anzeigendienste auf der Seite eingeschleust. Die Erweiterung manipuliert zudem einige Funktionen des sozialen Netzwerks, um zu verhindern, dass Nutzer die schädlichen Einträge aus ihrer Chronik oder ihren Aktivitäten löschen.

Neben der Verbreitung von Malware „unterhält“ das betrügerische Add-on seine Opfer auch mit einer Reihe von URL-Umleitungen auf gefälschte Umfragen oder dem Abschluss von Abonnements für Premium-SMS-Dienste. Versucht der Nutzer, einen Blick auf die installierten Erweiterungen zu werfen (about://extensions), kann es passieren, dass der Schadcode den Add-on-Reiter schließt.

(ID:42845212)