Verstecktes Add-on

Browser-Hijacking in Facebook

Vorsicht bei Videos, die zum Flash-Player-Download auffordern: Eine präparierte Browser-Erweiterung für Firefox und Chrome sorgt für verdeckte Klicks auf den "Gefällt-mir"-Button.

News
Browser-Hijacking in Facebook
Browser-Hijacking in Facebook
© G Data

Online-Kriminelle nutzen eine altbekannte Masche, um Malware zu verbreiten. Sie streuen Links zu einem angeblichen Video, doch auf der entsprechend präparierten Web-Seite sollen die Opfer erstmal einen Flash Player (player.exe) herunter laden und installieren. Der darin verborgene Schädling installiert eine versteckte Browser-Erweiterung in Firefox und Chrome.

Das Add-on wird im Hintergrund heruntergeladen und bleibt in der Liste der Erweiterungen unsichtbar. Sie kann dadurch auch nicht so einfach wieder entfernt werden. Für das Verstecken der Erweiterung sorgt eine präparierte CSS-Datei (Formatvorlage).

Die Browser-Erweiterung verhindert den Aufruf bestimmter Websites und lädt stattdessen andere. So wird etwa statt Google wird ein türkischer Klon aufgerufen, der mit Werbung zugepflastert ist. Statt Ask.fm  wird über eine Kurz-URL (goo.gl) eine ähnliche türkische Website geladen. Deren Facebook-Profil hat vier Wochen nach der Einrichtung bereits um die 300.000 Fans.

Dieser ungewöhnliche steile Aufstieg erklärt sich durch die heimlichen Aktivitäten der Browser-Erweiterung. Diese sorgt für zahlreiche "Likes", deren Herkunft dem Anwender zunächst rätselhaft bleibt. Die Chrome-Version der Erweiterung nutzt Cloud-Speicher, den Google für Chrome-Erweiterungen bereit stellt. Sie lädt von dort ein Script, das die Likes erzeugt.

Der Antivirus-Hersteller G Data aus Bochum berichtet in seinem Blog über diesen Schädling und bietet auch eine Anleitung zum Entfernen der Chrome-Erweiterung. Chrome-Benutzer sollten nie einen angebotenen Flash Player installieren, denn der ist in Chrome bereits fest integriert. Es muss sich also um ein Täuschungsmanöver handeln.

Die Browser-Erweiterung ist so großflächig verteilt worden, dass sie in G Datas monatlicher Malware-Statistik im März auf Platz vier rangiert. Google hat dieses Add-on inzwischen gesperrt.

19.4.2013 von Frank Ziemann

Weiter zur Startseite  

Mehr zum Thema

Das Hasso-Plattner-Institut bietet einen Sicherheits-Test an.

Millionen gestohlene Datensätze

HPI-Test: Eigene E-Mail-Adresse auf Identitätsklau testen

Mit seiner E-Mail-Adresse kann man beim Hasso-Plattner-Institut testen lassen, ob eigene Daten Hackern zum Opfer gefallen sind und im Internet…

WhatsApp

Abmahnungen können drohen

Whatsapp-Kerze: Corona sorgt für Kettenbrief-Comeback nach 5…

Ein Whatsapp-Kettenbrief mit dem Foto einer Kerze taucht nach mehr als fünf Jahren wieder auf. Statt Solidarität für Corona-Patienten drohen…

Jeep Cherokee Hack

Sicherheitslücke in Uconnect

Hacker kapern Auto - Jeep über Internet ferngesteuert

Zwei Hackern ist es gelungen, über das Internet die Kontrolle über einen Jeep Cherokee zu übernehmen - während der Fahrt auf einem Highway.

Symbolbild: Sicherheit

Kundenpasswörter im Klartext

Bitdefender gehackt und erpresst - Nutzerdaten gestohlen

Bitdefender-Hack: Der Hacker fordert 15.000 US-Dollar, ansonsten würden Nutzerdaten veröffentlicht. Diese speicherte Bitdefender übrigens im Klartext.

Flash-Lücke entdeckt

Schädlinge über Flash-Werbung

Yahoo-Webseiten lieferten fast eine Woche lang Malware aus

Yahoo-Webseiten lieferten vom 28. Juli bis 3. August Malware über Flash-Werbung aus. Das entdeckte das Sicherheitsunternehmen Malwarebytes.