Chrome-Erweiterungen gekapert, potentiell 4,8 Millionen Nutzer von Malvertising betroffen

Phishing-Mails, selbst Entwickler, die es eigentlich besser wissen sollten, sind vor Ihnen nicht geschützt. Konkret geht es in diesem Fall um Entwickler von Chrome-Erweiterungen. Acht Erweiterungen wurden auf diese Weise übernommen, einfach indem der Entwickler-Account-Login abgegriffen wurde. Die Erweiterungen wurden daraufhin so manipuliert, dass sie Werbung der Angreifer auslieferten. Aber das ist noch nicht alles, denn auch Cloudflare-Schlüssel (sofern vorhanden, betrifft vor allem Betreiber von Webseiten) greifen die Erweiterungen ab, da liegt eine sehr viel größere Gefahr.

Die Cloudflare-Schlüssel erlauben es den Angreifern theoretisch, den kompletten Traffic einer Seite umzuleiten. Was die Angreifer allerdings mit den Schlüsseln konkret vorhaben, ist nicht bekannt. Wordfence geht davon aus, dass diese für einen späteren Angriff gesammelt werden. Es wurden bisher keine Seiten entdeckt, die dadurch umgeleitet wurden.

Der Angriff selbst erlaubt dem Angreifer Webseiten nach Lust und Laune zu manipulieren, was auch getan wurde. Die Angreifer lieferten infizierten Nutzern eigene Werbung aus, wir berichteten im Fall der betroffenen Erweiterung Copyfish bereits davon. Betroffen sind folgende Erweiterungen:

• Web Developer – Versions 0.4.9 affected
• Chrometana – Version 1.1.3 affected
• Infinity New Tab – Version 3.12.3 affected
• CopyFish  – Version 2.8.5 affected
• Web Paint – Version 1.2.1 affected
• Social Fixer 20.1.1 affected
• TouchVPN appears to have been affected but the version is unclear
• Betternet VPN also appears to have been affected but no version was provided

Vielleicht wieder einmal der Stein des Anstoßes für den ein oder anderen, seine Erweiterungen zu überprüfen. Oftmals lässt man diese ja auch installiert, wenn man sie schon gar nicht mehr nutzt.