Eine anstrengende Untersuchung, die von der Sicherheitsforscherin Jamila Kaya und dem Duo Security-Team von Cisco durchgeführt wurde, hat über 500 böswillige Chrome-Browsererweiterungen aufgedeckt. Google hat die schädlichen Erweiterungen jetzt aus dem Chrome Web Store entfernt.
Diese Erweiterungen hat böswillige Anzeigen geschaltet und private Browserdaten hochgeladen an Server ohne Zustimmung des Benutzers. Die Forscher fanden heraus, dass die böswilligen Akteure seit mindestens zwei Jahren tätig waren und etwa 1,7 Millionen Benutzer betrafen.
Für die ersten Ergebnisse nutzte Kaya Duos kostenloses automatisiertes Sicherheitsbewertungstool CRXcavator für Chrome-Erweiterungen. Der Forscher arbeitete später mit anderen Forschern von Duo zusammen, um weitere Beweise zu finden.
"Die Ersteller der Chrome-Erweiterung hatten speziell Erweiterungen vorgenommen, die die zugrunde liegende Werbefunktionalität der Benutzer verschleierten." schrieb die Forscher in einem Blogbeitrag. „Dies wurde durchgeführt, um die Browser-Clients mit einer Befehls- und Steuerungsarchitektur zu verbinden, private Browserdaten ohne Wissen des Benutzers zu filtern, den Benutzer dem Risiko einer Ausnutzung durch Werbeströme auszusetzen und zu versuchen, den Betrugserkennungsmechanismen des Chrome Web Store auszuweichen. ”
Für diejenigen, die sich fragen, wie diese Angreifer es geschafft haben, Ihre Browserdaten zu durchsuchen, stützten sie sich hauptsächlich auf Plugins, die Benutzer auf schädliche Websites umgeleitet hatten. Die Forscher weisen darauf hin, dass die Plugins den gleichen Namen hatten wie die schädliche Website.
Zum Beispiel fanden die Forscher ähnlichen Quellcode auf zwei Plugins, unter anderem Mapstrek und Arcadeyum. Die mit den Plugins verknüpften bösartigen Websites waren Mapstrek Um sich vor ähnlichen böswilligen Erweiterungen zu schützen, empfehlen die Forscher, die in Ihrem Browser installierten Erweiterungen im Auge zu behalten und regelmäßig zu überprüfen und gegebenenfalls die verdächtigen zu entfernen.