Wladmimir Palant, ehemaliger Entwickler von Adblock Plus, warnt in seinem Blog vor bösartigen Browser-Erweiterungen im Chrome Web Store von Google. Avast hat die Funde bestätigt. Einen größeren Teil der betroffenen Browser-Add-ons hat Google inzwischen aus dem Store entfernt. In den Webbrowsern müssen Nutzerinnen und Nutzer jedoch selbst Hand anlegen, um sie zu deinstallieren.

Wie Palant in seiner Analyse ausführt, habe er neben einer bösartigen PDF-Toolbox-Erweiterung stetig weitere mit ähnlichem verschleierten, bösartigen Code gefunden. Bis zum vergangenen Donnerstag habe er bereits 34 Erweiterungen aufgespürt, die auf rund 87 Millionen Nutzer kommen. Die populärsten heißen Autoskip for Youtube, Crystal Ad block sowie Brisk VPN mit jeweils mehr als fünf Millionen Nutzern. Die meisten Malware-Add-ons davon hat Google im Store sogar als "Empfohlen" aufgelistet.

Chrome Web Store: Manipulierte Bewertungen

Zusammen mit Lukas Andersson habe Palant weitere bösartige Erweiterungen aufgespürt, da diese manipulierte Bewertungen im Chrome Web Store nutzten. Sie wiesen gleichartige Muster in den Rezensionen auf. Bis zum Freitag habe Google dann bis auf acht Erweiterungen die Funde aus dem Store entfernt.

Während die Erweiterungen die beworbenen Funktionen tatsächlich bieten, haben die Entwickler ihnen weiteren Schadcode zugefügt. Er ermöglicht der Webseite serasearchtop[.]com, beliebigen Javascript-Code in alle besuchten Webseiten einzuschleusen. Dieser werde wahrscheinlich zum Einschleusen von Werbung missbraucht, aber weitere bösartige Angriffe seien denkbar. Bevor die Zugriffe auf die Webseite mit dem Javascript starten, warten die Erweiterungen jedoch 24 Stunden, um keinen Verdacht zu erregen, erklärt Palant in einer Schadcode-Analyse. Das konkret heruntergeladene Javascript kam bei ihm jedoch nie an, sodass er von den weiteren Schadfunktionen keine genaueren Untersuchungsergebnisse liefern kann.

Avast hat die Ergebnisse von Palant jedoch bestätigt und gibt an, dass die Browser-Erweiterungen Adware verteilen und Suchergebnisse manipulieren würden. Aufgrund der niedrigen Anzahl an Bewertungen gehen die Virenanalysten davon aus, dass die Installations-Anzahl manipuliert wurde.

Die Liste mit den App-Namen und der Erweiterung-ID ist in einem weiteren Blog-Beitrag von Palant enthalten. Chrome-Nutzer sollten prüfen, ob sie eine oder mehrere der Erweiterungen installiert haben und sie gegebenenfalls entfernen. Die automatische Deinstallation hat Google Palant zufolge nicht aktiviert.

Browser-Erweiterungen sind nicht allzu oft im Fokus von IT-Sicherheitsforschern. Vor einem Jahr wurde etwa eine bösartige Chrome-Erweiterung namens ChromeLoader bekannt. Sie konnte den Traffic umleiten und Daten abschöpfen.

(dmk)