Versteckter Schadcode – 119 Browser-Erweiterungen entfernt

Versteckter Schadcode

Microsoft entfernt 119 gefährliche Browser-Erweiterungen

119 Edge-Erweiterungen sehen harmlos aus, laden aber Tage nach der Installation Schadcode nach. Auch Nutzer anderer Browser könnten betroffen sein.

Microsoft hat 119 schädliche Erweiterungen für seinen Browser Edge entfernt, die zusammen bis zu 2,6 Millionen Mal installiert wurden. Zuvor deckte das Unternehmen eine Kampagne auf, die nach eigenen Angaben seit mindestens 2021 lief. Zuerst hatte das Fachportal „golem.de“ berichtet.

Wie Sicherheitsforscher aus dem Security-Team von Microsoft Edge berichten, gaben sich die Erweiterungen als gewöhnliche Alltagswerkzeuge aus: als Werbeblocker, als VPN-Dienste für anonymes Surfen, als Übersetzer oder als Programme zum Herunterladen von Videos. Sie erfüllten ihren beworbenen Zweck und sammelten echte Bewertungen. Erst einige Tage nach der Installation luden sie versteckten Schadcode nach.

• Unbedingt aktualisieren: Google schließt 33 Sicherheitslücken in Chrome
• WinRAR-Lücke: Hacker greifen weiter an – so schützen Sie sich

Microsoft führt die 119 Erweiterungen auf einen einzelnen Angreifer zurück, der sie über mehr als 90 Entwicklerkonten verbreitet habe. Die Zahl von bis zu 2,6 Millionen Installationen sei eine Obergrenze und nicht die Zahl der tatsächlich Geschädigten, betont das Unternehmen: Der Schadcode sei nicht bei jeder Installation ausgeführt worden.

Der Name der Kampagne, StegoAd, verweist auf ihre zentrale Technik. Der Schadcode steckte in scheinbar harmlosen Bild- und Schriftdateien. Fachleute nennen dieses Verfahren „Steganografie“: Daten werden so in einer Datei verborgen, dass weder ein Mensch noch ein automatisches Prüfprogramm etwas Auffälliges erkennt.

Um bei den Sicherheitsprüfungen nicht aufzufallen, blieben die Erweiterungen nach der Installation drei bis fünf Tage untätig. Erkannten sie geöffnete Entwicklerwerkzeuge im Browser, also Hinweise auf eine Analyse, verlängerten sie diese Pause.

Bei einem Teil der Varianten lief der Schadcode zudem nur bei etwa jeder zehnten Installation an. Die Microsoft-Forscher beschreiben die Kampagne als „eine der raffiniertesten Kampagnen mit bösartigen Erweiterungen“, die dem Team bisher begegnet ist.

Sichtbar war für die Nutzer vor allem Werbebetrug. Die Erweiterungen blendeten zusätzliche Anzeigen auf Webseiten ein und leiteten Einkäufe bei Händlern wie Amazon, Ebay und Aliexpress über eigene Partnerlinks um, sodass Provisionen an die Angreifer flossen.

Laut Microsoft griff der nachgeladene Code außerdem Zugangsdaten ab, etwa für Google-Konten, für das Onlinebanking und für die Webseiten-Software WordPress. Zusätzlich öffnete er eine Hintertür, also einen verdeckten Zugang, über den die Angreifer weiteren Schadcode nachladen konnten.

Auch wer Edge nicht nutzt, ist nicht zwangsläufig sicher. Microsoft hat die technischen Erkennungsmerkmale der Kampagne veröffentlicht und weist darauf hin, dass sie sich auch auf Chrome, Firefox und andere Browser übertragen lassen.

Wer Edge nutzt, kann unter der Adresse edge://extensions die installierten Erweiterungen einsehen und mit der Liste der 119 betroffenen Kennungen aus dem Microsoft-Bericht abgleichen. Hat Edge eine Erweiterung selbst entfernt, ohne dass man sie deinstalliert hat, gilt das ebenfalls als Hinweis. Bei einem Treffer empfiehlt es sich, die Passwörter wichtiger Konten zu ändern, die jüngsten Anmeldungen auf unbekannten Geräten zu prüfen und eine Zwei-Faktor-Anmeldung einzurichten.