Erweiterungen für Google Chrome verbreiten unerwünschte Werbung

Der Proofpoint-Sicherheitsforscher Kafeine warnt vor sechs legitimen Browsererweiterungen für Google Chrome, die offenbar von Hackern manipuliert wurden. Sie blenden nun Anzeigen für ein Affiliate-Programm ein, das Nutzer zum Kauf von unnötigen Support-Dienstleistungen für ihren PC verleiten soll. Die betroffenen Erweiterungen waren ab Ende Juli beziehungsweise Anfang August im Chrome Web Store erhältlich.

Der oder die Angreifer hätten die Erweiterungen modifiziert, nachdem es ihnen gelungen sei, per Phishing die Google-Anmeldedaten der jeweiligen Entwickler auszuspähen. Ziel sei es, bestimmte Anzeigen auf Websites gegen Werbung des Affiliate-Programms auszutauschen, das wiederum die Hintermänner an den so generierten Werbeeinnahmen beteilige.

„In vielen Fällen wurden den Opfern gefälschte JavaScript-Warnungen präsentiert, die sie aufforderten, ihren PC reparieren zu lassen, um sie dann an Affiliate-Programme weiterzuleiten, von den die Cyberkriminellen profitieren konnten“, führt Kafeine in einem Blogeintrag aus.

Darüber hinaus enthielten die manipulierten Erweiterungen Code, um Anmeldedaten von Cloudflare-Nutzern auszuspähen. Das auf die Bereitstellung und Absicherung von Internetinhalten spezialisierte Unternehmen stellte daraufhin die Verteilung einer bestimmten Datei ein, die die Hacker für ihre Zwecke benutzten.

Die Entwickler der Erweiterungen konnten die Hacker mit Phishing-E-Mails täuschen, die angeblich vom Team des Chrome Web Store kamen. Darin wurden sie auf angebliche Verstöße ihrer Erweiterungen gegen die Nutzungsrichtlinien aufmerksam gemacht, verbunden mit der Drohung, die Erweiterungen zu entfernen, sollten die Probleme nicht gelöst werden.

Betroffen sind die Erweiterungen Web Developer 0.4.9, Chrometana 1.1.3, Infinity New Tab 3.12.3, CopyFish 2.8.5, Web Paint 1.2.1 und Social Fixer 20.1.1. Kafeine geht zudem davon aus, dass die Erweiterungen TouchVPN und Betternet VPN mit derselben Methode bereits Ende Juni kompromittiert wurden.

Schon 2014 hatten Cyberkriminelle Chrome-Erweiterungen für ihre Zwecke benutzt. Sie kauften mehrere beliebte und bis zu dem Zeitpunkt vertrauenswürdige Erweiterungen und fügten Code hinzu, um Adware und Werbung für Affiliate-Programme zu verbreiten.

[mit Material von Liam Tung, ZDNet.com]

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.