SQL-Angriffe

Firefox-Erweiterung spannt Bot-Netz auf

Eine als Microsoft-Tool getarnte Firefox-Erweiterung nutzt die Web-Aktivitäten des Benutzers, um besuchte Websites auf Schwachstellen abzuklopfen. Es kann zudem Benutzerdaten ausspionieren.

Firefox-Addon ist Malware: Vorsicht bei Erweiterungen für den Mozilla-Browser.

© Screenshot; Frank Ziemann

Firefox-Addon ist Malware: Vorsicht bei Erweiterungen für den Mozilla-Browser.

Online-Kriminelle nutzen fehlerhaft konfigurierte Web-Server, um legitime Websites mit Malware zu verseuchen, die dann die Rechner der Besucher infiziert. Sehr beliebt sind Sicherheitslücken in Web-Anwendungen, die SQL-Datenbanken benutzen. Durch so genannte SQL-Injection-Angriffe schleusen die Angreifer Code ein und erhalten so die Kontrolle über den Web-Server. Doch wie kommen die Täter an die Informationen, welche Websites geeignete Schwachstellen aufweisen?

Die Suche nach solchen Angriffspunkten in Web-Anwendungen kann recht mühsam sein. Mit Hilfe einer speziellen Browser-Erweiterung, die man möglichst vielen Anwendern unter einem Vorwand unterschiebt, lässt sich diese Aufgabe sehr viel effizienter erledigen, wie der Sicherheitsforscher Brian Krebs berichtet. Demnach haben Kriminelle mehr als 12.500 Rechner mit einer Firefox-Erweiterung infiziert, die als "Microsoft .NET Framework Assistant" getarnt ist.

Dieses Add-on untersucht die durch den Benutzer besuchten Websites auf ausnutzbare SQL-Lücken und meldet diese an das Mutterschiff eines Bot-Netzes. Die Täter nennen das Bot-Netz selbst "Advanced Power" und haben damit bislang mehr als 1.800 anfällige Websites ermittelt. Das schädliche Add-on enthält auch Funktionen zum Ausspähen von Benutzerdaten, die jedoch offenbar bislang nicht genutzt werden.

Es existiert eine legitime Firefox-Erweiterung gleichen Namens, die wirklich von Microsoft stammt und dessen "ClickOnce"-Technik unterstützt. Sie kann die Versionsnummer 0.0.0.0 (Dummy-Version) tragen, die aktuelle Version ist 1.3.1. Die Kennung lautet {20a82645-c095-46ed-80e3-08825760534b}. Der Malware-Zwilling hat hingegen die Kennung "advance@windowsclient.com" und wird inzwischen von den meisten Antivirusprogrammen erkannt.

Mozilla hat die schädliche Erweiterung bereits auf seine Sperrliste gesetzt, sodass sie nicht mehr funktionieren sollte. Allerdings ist dieses Add-on ohnehin nur mit recht alten Firefox-Versionen (2.0 bis 6.0) kompatibel und enthält keine Update-URL. Benutzer derart veralteter Browser-Versionen dürften automatische Updates abgeschaltet haben. Die ursprüngliche Download-URL, von der die schädliche Erweiterung geladen wird, scheint mittlerweile ebenfalls außer Funktion zu sein.

Mehr zum Thema

Opera 24 und Firefox 32: Die neuen Versionen der Web-Browser beseitigen Schwachstellen
Browser-Updates

Die neuen Versionen der Web-Browser Firefox und Opera beseitigen etliche Schwachstellen. Außerdem haben die Entwickler einige Funktionen…
Screenshot von der Mozilla-Webseite
Auch Chrome betroffen

Firefox, Seamonkey und Chrome haben eine Sicherheitslücke, mit der Web-Server ein Zertifikat fälschen können, um sich als beliebige Website…
Das Browser-Tracking ist dank Cookies möglich - auch beim Inkognito-Modus.
Chrome, Firefox & Opera

Auch wenn User im Internet per Inkognito-Modus unterwegs sind und keine Cookies speichern, können Nutzer nachverfolgt werden.
Firefox
Mozilla-Browser

Mozilla hat Firefox 38 zum Download freigegeben. Die neue Version des Browsers bringt unter anderem ein DRM-Modul von Adobe mit. Wir erklären, was…
Firefox
Suggested Tiles

Mozilla stellt das neue Werbe-Feature Suggested Tiles für Firefox vor. Der Browser wird künftig Anzeigen auf Basis der Browser-Historie anzeigen.