Categories: BrowserWorkspace

Session Replay: Google entfernt 89 spionierende Erweiterungen aus Chrome Web Store

Cyberkriminellen ist es erneut gelungen, die Sicherheitsvorkehrungen für den Chrome Web Store zu umgehen und Google schädliche Erweiterungen für seinen Browser Chrome unterzuschieben. Insgesamt 89 Erweiterungen entfernte Google kürzlich aus seinem offiziellen Marktplatz, die Nutzer zu dem Zeitpunkt bereits in 420.000 Instanzen des Google-Browsers installiert hatten. Sie enthielten einen Miner für die Kryptowährung Monero sowie sogenannte Session-Replay-Skripte zum Ausspionieren des Browserverlaufs.

Entdeckt wurden die Droidclub genannten Erweiterungen vom Sicherheitsanbieter Trend Micro. Im Gegensatz zu Analytics-Anbietern nutzen sie die Session-Replay-Skripte jedoch nicht für Marktforschungs- oder Werbezwecke, sondern um jegliche Internetaktivitäten ihrer Opfer zu überwachen. Die Skripte erfassen nämlich jede Tastatureingabe und Mausbewegung inklusive Bildlauf sowie alle Inhalte von besuchten Websites, was es erlaubt, alle Interaktionen mit einer Seite nachzuvollziehen.

„Diese Skripte werden in alle Websites eingeschleust, die ein Nutzer besucht“, sagte Joseph Chen, Fraud Analyst bei Trend Micro. „Die Bibliotheken werden benutzt, um den Besuch eines Nutzers auf einer Website wiederzugeben, damit der Eigentümer sehen kann, was der Besucher gesehen und eingegeben hat.“ Schon zuvor hätten Sicherheitsforscher vor einem Missbrauch der Session-Replay-Bibliotheken gewarnt. Droidclub sei nun das erste konkrete Beispiel.

Die schädliche Bibliothek mit den Session-Replay-Skripten versteckten die Hintermänner in harmlos anmutenden Erweiterungen, die sich mit Kochrezepten und Wohnungseinrichtungen beschäftigten. Die Verbreitung erfolgte über eine Mischung aus Malvertising und Social Engineering: als Anzeigen getarnte Fehlermeldungen sollten Nutzer zur Installation einer Erweiterung aus dem Chrome Web Store verleiten, um nicht verfügbare Inhalte anzuzeigen.

Laut Trend Micro waren die 89 Erweiterungen auch in der Lage, ihre Deinstallation zu verhindern. Ein entsprechender Versuch des Nutzers endete mit einer gefälschten Meldung über die angebliche Löschung der Erweiterung. Zudem waren Nutzer nicht der Lage, die Erweiterung bei Google zu melden. Sie landeten stattdessen auf einer Seite, auf der die fragliche Erweiterung vorgestellt wurde.

Google hat die Droidclub-Erweiterungen inzwischen aus dem Chrome Web Store entfernt. Zudem bestätigte das Unternehmen gegenüber Trend Micro, dass die Erweiterungen auch auf allen Geräten betroffener Nutzer deaktiviert wurden.

Erst vor rund drei Wochen hatte Google nach Hinweisen eines Sicherheitsanbieters vier schädliche Chrome-Entfernungen blockiert. Sie wurden für Klickbetrug benutzt, was mehr als 500.000 Nutzer betraf.

Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

[mit Material von Liam Tung, ZDNet.com]

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago