Die Angreifer nutzten eine raffinierte Methode, um ihre Schadsoftware zu verteilen. Sie kauften populäre und legitime Browser-Erweiterungen von den ursprünglichen Entwicklern auf. Anschließend spielten sie ein Update aus, das unbemerkt den bösartigen Code enthielt und so die Browser-Erweiterungen zur Malware machte.
Da die Add-ons bereits bei Millionen von Nutzern installiert waren und gute Bewertungen hatten, schöpften viele keinen Verdacht. Die Updates wurden automatisch installiert, sodass die Nutzer aktiv nichts von der Infektion mitbekamen.
So funktionierte die Browser-Erweiterungen Malware
Der eingeschleuste Schadcode war darauf ausgelegt, im Hintergrund zu agieren. Er sammelte Informationen über die Suchanfragen der Nutzer bei Google, Bing und Yahoo. Außerdem spähte die Malware die Aktivität auf bestimmten kommerziellen Webseiten aus, um Affiliate-Provisionen zu manipulieren.
Dabei wurden Cookies auf den Rechnern der Opfer platziert. Wenn ein Nutzer dann auf einer Partnerseite einen Kauf tätigte, erhielten die Angreifer eine Provision, da es so aussah, als hätten sie den Kunden vermittelt. Der eigentliche Zweck war also die finanzielle Bereicherung durch betrügerische Affiliate-Links.
Die betroffenen Erweiterungen hatten ursprünglich nützliche Funktionen, wie etwa das Speichern von Cloud-Inhalten oder das Anbieten von Screenshot-Tools. Zu den manipulierten Add-ons gehörten unter anderem „Speichern in Google Drive“ und „Web Screenshot“. Insgesamt waren laut Sicherheitsforschern über 4,3 Millionen Installationen betroffen.
Risiken und Schutzmaßnahmen für Nutzer
Der Vorfall verdeutlicht die Gefahr, die von Browser-Erweiterungen ausgehen kann. Nutzer geben diesen kleinen Programmen oft weitreichende Berechtigungen, wodurch sie auf besuchte Webseiten und eingegebene Daten zugreifen können. Kriminelle nutzen dies gezielt aus.
Um sich zu schützen, sollten Sie die Anzahl der installierten Add-ons auf ein Minimum reduzieren. Überprüfen Sie regelmäßig, welche Erweiterungen Sie wirklich benötigen und deinstallieren Sie den Rest. Achten Sie außerdem bei der Installation auf die geforderten Berechtigungen und hinterfragen Sie, warum ein einfaches Tool beispielsweise Zugriff auf alle Ihre Browserdaten benötigt.
Sowohl Google als auch Microsoft haben inzwischen reagiert und die betroffenen Erweiterungen aus ihren jeweiligen Stores entfernt. Dennoch ist es ratsam, die eigene Browser-Konfiguration zu überprüfen. Ein kritischer Blick auf die installierten Add-ons schützt effektiv vor unerwünschter Browser-Erweiterungen Malware und dem Diebstahl persönlicher Informationen.
