Normalerweise haben es Phisher auf die Zugangsdaten von Millionen Nutzern abgesehen und versuchen durch ganz verschiedene Methoden, an diese heranzukommen. Doch in den letzten Monaten waren auch Entwickler von populären Chrome-Extensions betroffen, wodurch der potenzielle Schaden deutlich größer geworden ist. Derzeit sind acht Extensions bekannt, die „entführt“ worden sind und so bis zu 4,8 Millionen Endnutzer betreffen.

In den vergangenen Wochen ist schon die „Entführung“ von zwei populären Chrome-Extensions bekannt geworden: Copyfish und Web Developer waren betroffen und wurden jeweils mit der gleichen Methode gekapert. Anschließend haben die Entführer die Extension unter ihre Kontrolle gebracht und diese mit Code versehen, der beim Endnutzer Werbung anzeigt, mit der diese dann viel Geld verdienen – während der Nutzer vermutlich keine Ahnung hat, wo die Werbung plötzlich herkommt.

Wie jetzt bekannt wurde, sind oder waren aber noch weitere Extensions betroffen, wobei derzeit acht bekannt sind. Sie stammen von ganz verschiedenen Entwicklern und aus verschiedensten Bereichen. Insgesamt haben die Extensions zusammen eine Reichweite von 4,8 Millionen Nutzern – wobei aber natürlich auch Überschneidungen dabei sein können. Außerdem sind die meisten Extensions wieder unter der Kontrolle der rechtmäßigen Besitzer. Betroffen sind/waren folgende Extensions

  • Web Developer – Versions 0.4.9
  • Chrometana – Version 1.1.3
  • Infinity New Tab – Version 3.12.3
  • CopyFish – Version 2.8.5
  • Web Paint – Version 1.2.1
  • Social Fixer – Version 20.1.1
  • TouchVPN
  • Betternet VPN

Gekapert wurden sie alle nach dem gleichen Prinzip: Die Entwickler haben eine E-Mail bekommen, die sich als Info-Mail vom Chrome Web Store ausgegeben hat und damit drohte, die jeweilige Extension aufgrund von Verletzungen der Nutzungsbedingungen zu löschen, wenn keine weiteren Schritte unternommen werden. In der Mail befand sich dann ein Kurz-Link, der wiederum auf eine gefälschte Login-Seite führte und die Zugangsdaten des Entwicklers abgefragt hat. Sobald diese eingegeben wurden, hatten die Phisher die Zugangsdaten für die Extension.

Vermutlich haben in den letzten Monaten viele Entwickler solche E-Mails bekommen, aber der Großteil dürfte wohl nicht darauf hereingefallen sein. Durch diese Methode ist es den Angreifern trotzdem gelungen, nicht nur Millionen von Nutzern mit Werbung zu erreichen, sondern es wurden teilweise auch weitere sensible Daten entwendet: So wurden durch eine relativ simple Methode Cloudflare-Schlüssel entwendet, mit denen die Angreifer wiederum ganze Webseiten-Projekte umleiten könnten.