Bedrohungslage

Browser-Erweiterungen, Cookies & Co.: Ein unbekanntes Risiko

9. August 2023 von Marek Röhner
Browser-Erweiterungen
©TadaImages - Adobe Stock

5
(2)

Die meisten von uns dürften irgendwann schon einmal eine oder mehrere Browser-Erweiterungen auf ihrem Rechner installiert haben, um den Browser an die ganz individuellen Bedürfnisse anzupassen. Ob Online-Übersetzer, Werbeblocker, Passwort-Manager oder Rechtschreibprüfung: Browser-Erweiterungen bieten reichlich Funktionen und Möglichkeiten, die das Surfen im Internet verbessern oder erleichtern.

Aber haben Sie sich schon einmal gefragt, wie sicher die kleinen Helfer überhaupt sind? Denn tatsächlich können Browser-Erweiterungen ein potentielles Sicherheitsrisiko darstellen, wenn sie nicht sorgfältig überprüft oder von vertrauenswürdigen Quellen heruntergeladen wurden.

In unserem heutigen Beitrag wollen wir über das unbekannte Risiko schädlicher Browser-Erweiterungen berichten und einige von ihnen genauer unter die Lupe nehmen.

 

Was sind Browser-Erweiterungen überhaupt?

Browser-Erweiterungen sind kleine Softwareprogramme oder Add-Ons, die in Webbrowsern installiert werden können, um deren Funktionen zu erweitern oder anzupassen. Sie ermöglichen es, bestimmte Funktionen und Features hinzuzufügen, um das Surferlebnis im Allgemeinen zu verbessern oder Aufgaben zu erleichtern.

Browser-Erweiterungen werden in der Regel von Drittanbietern entwickelt und sind u.a. für die Browser Google Chrome, Mozilla Firefox, Microsoft Edge, Safari und andere verfügbar. Jeder Browser hat seinen eigenen WebStore oder Marktplatz, in dem Nutzende die Erweiterungen herunterladen und installieren können.

Damit Browser-Erweiterungen ordnungsgemäß funktionieren, müssen sie bestimmte Berechtigungen erhalten, wie beispielsweise das Lesen und Ändern von Inhalten von Webseiten. Diese Berechtigungen ermöglichen es den Erweiterungen, interaktiv mit den besuchten Webseiten zu interagieren und ihre Funktionen auszuführen. Jedoch birgt gerade die Vergabe umfangreicher Berechtigungen auch ein Sicherheitsrisiko. Und je mehr Berechtigungen eine Browser-Erweiterung erhält, desto größer ist auch das Potenzial für Missbrauch. Denn Cyberkriminelle können scheinbar harmlose Erweiterungen in tatsächliche Bedrohungen verwandeln: Solche bösartige Browser-Erweiterungen können dann zum Beispiel sensible Benutzerdaten wie Passwörter oder Zahlungsinformationen ausspionieren, auf gefälschte Websites umleiten und Anmeldeinformationen stehlen, unerwünschte Adware verbreiten und sogar die Opferrechner mit Malware infizieren.

 

Schädliche Browser-Erweiterungen

Betrügerische WebSearch-Erweiterungen für Office-Dateien

Schon seit einigen Jahren von Cyberkriminellen aktiv verbreitet werden bösartige WebSearch-Adware-Erweiterungen. Getarnt sind sie als hilfreiche Tools für Office-Dateien, beispielsweise um Word-Dateien in PDF-Dateien zu konvertieren.

WebSearch-Erweiterungen sind Browser-Erweiterungen, die dazu dienen, die Suchfunktion des Browsers zu modifizieren oder zu erweitern. Sie können dazu verwendet werden, die Standard-Suchmaschine, die Suchergebnisseite oder die Browser-Startseite zu ändern. In einigen Fällen können diese Erweiterungen legitime und nützliche Funktionen bieten, indem sie beispielsweise spezielle Suchdienste integrieren oder benutzerdefinierte Suchvorschläge anzeigen. Allerdings sind viele WebSearch-Erweiterungen inzwischen für betrügerische Aktivitäten bekannt: Nach ihrer Installation ersetzen sie heimlich die gewohnte Browser-Startseite durch eine Mini-Site mit einer Suchleiste und verfolgten Affiliate-Links zu Drittanbieter-Ressourcen wie AliExpress oder Farfetch. Zudem ändern sie auch die Standardsuchmaschine in search.myway. Dies ermöglicht es den Cyberkriminellen, die Suchanfragen ihrer Opfer zu überwachen, zu speichern und zu analysieren, um sie mit gezielter Werbung zu überhäufen oder sie auf unerwünschte Websites umzuleiten.

Immerhin: WebSearch-Erweiterungen sind inzwischen nicht mehr im offiziellen Chrome-Store erhältlich. Über Drittanbieterquellen können sie aber noch heruntergeladen werden.

Ungeliebtes Adware-Add-on DealPly

Bei Cyberkriminellen ebenfalls beliebt sind die Adware-Erweiterung der DealPly-Familie. Diese Erweiterungen werden in der Regel zusammen mit raubkopierten Inhalten von dubiosen Websites auf die Computer ihrer Opfer geschleust. Die Funktionsweise von DealPly-Erweiterungen ähnelt den WebSearch-Plug-ins. Nach der Installation ersetzen sie heimlich die Browser-Startseite durch eine Mini-Site, die Affiliate-Links zu beliebten digitalen Plattformen enthält. Zusätzlich ändern sie die Standardsuchmaschine des Browsers und verfolgen die Suchanfragen der Benutzer, um personalisierte Werbeanzeigen einzublenden.

Hauptziel dieser betrügerischen Adware ist es, Einnahmen aus den Affiliate-Links und den angezeigten Werbeanzeigen zu generieren. Indem sie die Suchanfragen ihrer Opfer analysieren und personalisierte Werbung anzeigen, hoffen die Cyberkriminellen, mehr Klicks auf die Werbeanzeigen zu erhalten und so ihre Einnahmen zu steigern.

AddScript verteilt ungewollte Cookies

Die Erweiterungen der AddScript-Familie sind ein perfektes Beispiel dafür, wie Cyberkriminelle legitime Technologien und Praktiken für illegale Zwecke missbrauchen können: Diese Erweiterungen präsentieren sich nämlich als nützliches Tool, beispielsweise als Musik- und Video-Downloader oder als Proxy-Server-Manager, infizieren aber in Wirklichkeit das Gerät ihres Opfers mit Schadsoftware. Und ist diese erst einmal installiert, beginnt die Schadsoftware, im Hintergrund Videos anzuschauen, um künstlich die Aufrufzahlen zu erhöhen. Dies erzeugt Einnahmen für die Angreifenden, da einige Website-Anbieter:innen Zahlungen basierend auf der Anzahl der Aufrufe von Videos leisten.

Und damit nicht genug: Die Kriminellen nutzen mit den AddScript-Erweiterungen die Cookie-Technologie, um noch mehr Geld zu verdienen. Normalerweise werden Cookies beim Besuch einer Website auf dem Gerät des Nutzenden gespeichert und dienen als digitale Markierung, die anzeigt, woher er oder sie kommt. Affiliate-Websites verwenden diese Cookies, um Besucher:innen auf legitime Websites zu leiten und dafür eine Gebühr zu erhalten. Soweit, so gut. Die AddScript-Entwickler missbrauchen jedoch dieses System, indem sie mehrere Cookies auf den infizierten Geräten ablegen. Diese Cookies werden dann als Markierungen verwendet, um vorzutäuschen, dass sie authentische Website-Besuchende an Partner weiterleiten. Im Gegenzug für jede:n weitergeleiteten Besucher:in erhalten die Betrüger eine Provision. In Wirklichkeit haben sie jedoch keine echten Kunden angeworben – ihre „Partner“-Aktivität besteht lediglich darin, Computer mit schädlichen Erweiterungen zu infizieren.

Cookie-Dieb „FB Stealer“

Die FB-Stealer-Familie ist eine weitere gefährliche Gruppe schädlicher Browser-Erweiterungen. Anstatt „Extras“ auf dem infizierten Gerät zu laden, stehlen diese Erweiterungen wichtige Cookies – allen voran Sitzungscookies von Nutzenden des sozialen Netzwerks Facebook. Diese Sitzungscookies ermöglichen es normalerweise, sich automatisch bei jeder Website-Anmeldung einzuloggen, ohne jedes Mal das Passwort eingeben zu müssen.

Indem die Angreifer diese Sitzungscookies stehlen, erhalten sie ohne jegliche Passwortabfrage Zugriff auf das Facebook-Konto ihres Opfers. Mit diesem Zugang können die Kriminellen dann verschiedene böswillige Aktivitäten ausführen, wie zum Beispiel Freunde und Verwandte des Opfers anschreiben und um Geld bitten oder andere Betrugsmaschen ausführen.

Die FB-Stealer-Erweiterung gelangt häufig zusammen mit dem Trojaner NullMixer auf das Gerät des Opfers, welches sich NullMixer beim Download gehackter Software-Installer einfängt. Nach der Installation modifiziert der Trojaner die Datei, die zur Speicherung der Chrome-Einstellungen genutzt wird. Um ihre Identität zu verschleiern, gibt sich die FB-Stealer-Erweiterung als Google-Translate-Erweiterung aus. Das perfide dabei: Die Erweiterung sieht täuschend echt aus! Lediglich die Warnung Ihres Browsers, dass der offizielle Store keine Informationen über die Erweiterung hat, liefert einen Hinweis darauf, dass die vermeintliche Google-Translate-Erweiterung betrügerischer Natur sein könnte.

Verseuchte Chrome Erweiterungen

Im Herbst letzten Jahres entdeckten Forschende von McAfee Labs schädliche Erweiterungen, die ihre Opfer auf Phishing-Seiten umleiten und Affiliate-IDs in die Cookies von E-Commerce-Websites einfügen. Die Forschenden konnten fünf Erweiterungen identifizieren, die bereits von mehr als 1,4 Millionen Nutzenden installiert wurden: Netflix Party, Netflix-Party 2, FlipShope – Preis-Tracker-Erweiterung, Full Page Screenshot Capture – Screenshotting und AutoBuy Flash Sales.

Diese Erweiterungen bieten eine Reihe verschiedener Funktionen, darunter das gemeinsame Anschauen von Netflix-Shows, das Erstellen von Screenshots von Websites und Website-Gutscheine. Soweit so gut, denn neben diesen beabsichtigten Funktionen verfolgen die Erweiterungen auch die Online-Aktivitäten der Nutzenden: Jede besuchte Website wird unbemerkt an Server gesendet, die den Machern dieser Erweiterungen gehören. Auf diese Weise können sie Code in die besuchten E-Commerce-Websites einfügen, der die Cookies auf der jeweiligen Website so verändert, dass die Ersteller:innen dieser Erweiterungen eine Affiliate-Zahlung für jeden gekauften Artikel erhalten.

Firefox Browser-Plugin „FriarFox“ greift auf Gmail-Konten zu

Die Security-Experten von Proofpoint, Inc. haben eine gefährliche Firefox-Erweiterung entdeckt, die von der, der chinesischen Regierung nahestehenden, so genannten APT-Gruppe TA413 verwendet wird, um tibetische Dissidenten zu überwachen: Die auf den Namen „FriarFox“ getaufte Erweiterung erlaubt den Angreifenden den Zugriff auf die Gmail-Konten ihrer Opfer.

Verteilt wird die Erweiterung durch Phishing-E-Mails mit einem präparierten Link, der zu einer gefälschten Landing Page mit einem vermeintlichen „Adobe Flash Player Update“ führt. Sobald das Opfer den Link anklickt, werden JavaScript-Dateien ausgeführt, die prüfen, ob das Opfer bestimmte Kriterien erfüllt – etwa, ob der Links mittels Firefox geöffnet wurde und ob eine aktive User Session in Gmail ausgeführt wird. Ist dies der Fall, wird die FireFox-Browsererweiterung durch eine XPI-Datei installiert, die den Cyberkriminellen nahezu vollständige Kontrolle über die E-Mail Konten ihrer Opfer gewährt. Wir möchten uns gar nicht ausmalen, was wäre, wenn (andere) Cyberkriminelle diese Technik nutzen, um sowohl öffentliche als auch private Organisationen auf der ganzen Welt anzugreifen und Zugriff auf deren E-Mail Konten zu erhalten!

 

Fazit: Augen auf vor der Installation – Sie können sich schützen!

Allein dieser kleine Exkurs in die Welt ganz realer, existierender schädlicher Browser-Erweiterungen, die persönliche Daten stehlen und betrügerische Aktivitäten ausführen, zeigt, wie wichtig es ist, Erweiterungen sorgfältig auszuwählen und diese ausschließlich aus vertrauenswürdigen Quellen zu beziehen. Die regelmäßige Aktualisierung der Erweiterungen und die Verwendung von Sicherheitslösungen können ebenfalls dazu beitragen, das Risiko von Sicherheitsverletzungen zu minimieren und ein sicheres Browsen zu gewährleisten.

Was Sie tun können, um sich zu schützen:

  • Achten Sie darauf, Erweiterungen nur aus vertrauenswürdigen Quellen zu installieren, wie beispielsweise aus den offiziellen WebStores der Browser. Auch wenn es keine 100%-ige Sicherheitsgarantie ist, so ist das Risiko, an eine bösartige oder unsichere Erweiterung zu geraten, definitiv geringer.
  • Wenn Sie eine Erweiterung installieren, sehen Sie sich die angeforderten Berechtigungen unbedingt genau an und gewähren Sie der Erweiterung nur diejenigen Berechtigungen, die für ihre Funktion unbedingt erforderlich sind.
  • Stellen Sie sicher, dass Ihre Browser-Erweiterungen regelmäßig aktualisiert werden. Entwickler:innen bringen oft Sicherheitsupdates heraus, um bekannte Schwachstellen zu beheben. Aktivieren Sie daher die automatischen Updates für Ihre Erweiterungen, um von den neuesten Verbesserungen zu profitieren.
  • Lesen Sie die Bewertungen und Erfahrungsberichte anderer Benutzer:innen, bevor Sie eine Erweiterung installieren. Positive Bewertungen und hohe Installationszahlen sind ein guter Indikator für die Vertrauenswürdigkeit einer Erweiterung.
  • Installieren Sie nur die Erweiterungen, die Sie wirklich benötigen. Deaktivieren oder entfernen Sie Erweiterungen, die Sie nicht (mehr) nutzen. Denn je weniger Erweiterungen aktiv sind, desto geringer ist die Angriffsfläche für potenzielle Sicherheitsbedrohungen.
  • Hören Sie auf Ihren gesunden Menschenverstand und seien Sie stets skeptisch: Wenn eine Erweiterung zu gut klingt, um wahr zu sein, könnte sie möglicherweise gefährlich sein.

 

Wie hat Ihnen dieser Artikel gefallen?

Average rating 5 / 5. Vote count: 2

0 Kommentar(e)

Schreibe einen Kommentar

* Die DSGVO-Checkbox ist ein Pflichtfeld

*

Ich stimme zu