Populäre Chrome-Plugins werden von Kriminellen gehackt!
Verschiedene Versionen von Chrome-Plugins werden durch Adware verseucht. Das beliebte Web Developer Plugin sowie das OCR-Plugin Copyfish sind bereits davon betroffen. Kriminelle haben sehr gezielt Phishing Aktionen an die Entwickler von Chrome-Erweiterungen gerichtet. Somit konnten Sie sowohl Zugangsdaten erlangen, als auch deren Plugins mit Adware verseuchen und dieses zu guter Letzt noch als Update verteilen.
Eine OCR-Lösung für Chrome und das Web Developer Plugin Copyfish wurden im Nachgang mit einer Adware ausgestattet. In beiden Fällen wurden mithilfe von Pishing die Zugangsdaten ausgelesen. Bei beiden Attacken war die Vorgehensweise der Hacker ähnlich, denn jedes Mal wurde eine Mail versendet, welche mit Google als Absender deklariert war. Inhaltlich war zu lesen, dass die jeweiligen Plugins nicht mehr den aktuellen Richtlinien des Chrome-Stores entspräche. Wenn dann der mitgesendete Link angeklickt wurde, landete der Nutzer auf einer Fake Seite, die durchaus einen professionellen Anschein machte. In beiden Fällen wurden sorglos die Zugangsdaten eingegeben.
Meldungen von Nutzern
Es dauerte nicht lange bis immer wieder Meldungen von Nutzern eintrafen, die sich über Adware bei den jeweiligen Anwendungen beschwerten. Bei der Überprüfung stellten dann beide Entwickler mit Verwunderung fest, dass bereits eine neuere Version der spezifischen Erweiterung in den Chrome-Store geladen wurde. Eine entsprechende Update-Version wurde im gleichen Zug an die Nutzer versendet. In einem der beiden Fälle konnte der Entwickler selbst sogar gar nicht mehr auf den Account zugreifen.
Seitdem haben es die beiden Entwickler wieder geschafft, die Kontrolle über ihre Erweiterungen zu erlangen. Es gibt jeweils eine neue Version, die der Nutzer installieren kann. Bei den Machern von Copyfish kam die Angreifer-IP aus Russland, doch selbst diese Information ist ungewiss. Eine VPN lässt sich sehr einfach fälschen und damit eine fehlerhafte Spur legen.
Es sind nach wie vor Infektionen möglich!
Die Hacker haben einen Angriff auf höchstem Niveau hingelegt, denn die Vorgehensweise war sehr gut durchdacht und sehr schwer zu entlarven. Sowohl die jeweilige Pishing Seite, als auch die versendete Mail, waren speziell auf den einzelnen Entwickler ausgelegt. Kam der Stein durch die Eingabe der Zugangsdaten dann erst einmal ins Rollen, so wurde binnen kürzester Zeit ein ebenfalls manipuliertes Update an die Nutzer versendet. Es ist weiterhin naheliegend, dass auch weitere Plugins angegriffen worden sind. Wenn Sie etwas merkwürdig empfinden, so reagieren Sie besonders achtsam und führen Sie in keinem Fall ein Update durch.
Derzeit zeigen diese Angriffe sehr schön, wie gewieft Cyber-Kriminelle vorgehen, wenn Sie an die ganz großen Entwickler-Unternehmen rantreten. Niemand rechnet in aller Regel damit, dass ein Plugin angegriffen wird. Insbesondere deshalb nicht, weil die Erweiterungen bekanntlich als sicher gelten und etabliert sind. Daraus ist zu lernen, dass selbst Entwickler-Accounts mit einer Zwei-Faktor-Athentifizierung gesichert werden müssen. Es bleibt an dieser Stelle nur zu hoffen, dass Google schnellstmöglich entsprechende Maßnahmen ergreifen wird.