Adware in Web Developer Plugin und Copyfish

Kriminelle hacken populäre Chrome-Plugins

Adware-verseuchte Versionen von Chrome-Plugins treten derzeit verstärkt auf. Opfer sind unter anderem das beliebte Web Developer Plugin und das OCR-Plugin Copyfish.

Zwei populäre Chrome wurden Ziel eines Hacking-Angriffs: Sowohl das Web Developer Plugin wie auch Copyfish, eine OCR-Lösung für Chrome, wurden nachträglich mit Adware ausgestattet – die Macher wurden in beiden Fällen per Phishing-Attacke um ihre Zugangsdaten gebracht.

Die Fälle ähneln sich massiv: Sowohl der Entwickler des Web Developer Plugins wie auch von Copyfish berichten, dass sie eine E-Mail erhielten, die angeblich von Google kam. Darin wird ihnen vorgeworfen, dass ihre Plugins nicht den Vorgaben des Chrome-Stores entspricht. Sie klickten den Link in der E-Mail und landeten auf einer gut gemachten Fälschung der Entwicklerseite für Chrome. Beide gaben die Zugangsdaten ein und dachten sich nichts weiter.

Bereits kurze Zeit später häuften sich die Meldungen, dass verstärkt Adware bei den Nutzern der jeweiligen Erweiterungen auftrat. Beide Entwickler stellten überrascht fest, dass irgendjemand eine neue Version der jeweiligen Erweiterung in den Chrome-Store hochgeladen und über die Update-Funktion an die Nutzer verteilt hat. Im Fall von Copyfish wurden die Entwickler sogar vom Account ausgeschlossen und hatten keinen Zugriff mehr auf die Erweiterung.

Inzwischen sind beide Erweiterungen wieder unter der Kontrolle der Entwickler, Nutzer sollten schnellstmöglich die aktuellen Versionen installieren. Laut den Machern von Copyfish kamen die Änderungen von einem Macbook, die IP war angeblich in Russland – das lässt sich aber über einen VPN (Virtual Private Network) leicht fälschen.

Weiter Infektionen wahrscheinlich

Die Attacken auf die beiden populären Plugins waren extrem gut gemacht. Die Phishing-Seiten und die E-Mails waren auf die Entwickler abgestimmt und die verseuchten Updates wurden innerhalb kurzer Zeit an die Nutzer ausgerollt. Es liegt auf der Hand, dass weitere Plugins angegriffen wurden. Sollten Sie seltsames Verhalten feststellen, seien Sie extrem vorsichtig.

Die Angriffe zeigen sehr gut, wie durchtrieben Kriminelle vorgehen. Eine Attacke auf ein installiertes Plugin, damit rechnet kein Nutzer. Vor allem, wenn die Erweiterungen an sich sicher sind und man sie bereits länger im Einsatz hat. Es wird aber auch klar, dass Entwickleraccounts dringend mindestens mit einer Zwei-Faktor-Authentifizierung (2FA) abgesichert sein müssten. Es steht zu hoffen, dass Google hier bald entsprechend verpflichtende Vorgaben macht.

Bitte beachten Sie

Die Beiträge in der Rubrik "Trends und Innovationen" sind Inhalte unseres Medienpartners Vogel Business Media. Sie spiegeln nicht unbedingt die Meinung von DATEV wider.