Fieser Malware-Trick:
Trojaner tarnt sich als Chrome-Extension

von Lars Bube (lars.bube@crn.de)

Share
21.04.2010

Mit einem steigenden Marktanteil unter den Browsern gerät Googles Chrome zunehmend ins Visier der Cyberkriminellen. Derzeit versucht beispielsweise ein Trojaner sich als praktische Extension für Chrome von Google zu tarnen und damit auf die Rechner potentieller Opfer zu gelangen.

(Fortsetzung des Artikels von Seite 1)

Keine Beiträge im Forum. » Diskussion starten!

Gefährliche Täuschung: Sowohl das verseuchte Tool selbst, als auch die entsprechende Download-Seite sind den Google-Originalen täuschend echt nachempfunden. (Bild: James Smit, Fotolia.com)

Innerhalb von weniger als eineinhalb Jahren hat es Googles [1] Browser Chrome laut Marketshare [2] inzwischen weltweit auf fast 10 Prozent Marktanteil gebracht und sich damit zum drittgrößten Player im Browser-Markt nach Microsofts Internet Explorer und Mozillas Firefox entwickelt. Doch einhergehend mit diesem Erfolg bekommen Google und die Chrome-User auch zunehmend dessen Nachteile zu spüren: Mit steigender Nutzerzahl versuchen immer mehr Cyberkriminelle den Browser anzugreifen.

Aktuellster Fall ist ein Trojaner, der derzeit versucht, sich den Nutzern als offizielle Erweiterung (»Extension«) für den Google-Browser zu verkaufen. Wie der Virenschutz-Experte BitDefender [3] mitteilt, erhalten viele Chrome-Anwender dieser Tage per E-Mail ein Angebot für eine angeblich von Google selbst stammende kostenlose Chrome-Extension. Wie es in der Email heißt, soll damit der Zugriff auf die Email-Dienste von Google über den Browser vereinfacht werden.

Die Empfänger werden in der Spam-Mail aufgefordert einem Link zu folgen, der sie direkt zum Download der Erweiterung führen soll. Folgt man diesem Link, landet man auf einer Webseite, die der originalen Google Chrome Extensions-Webpage täuschend ähnlich sieht. Hinzu kommt, dass es auf der echten Seite wirklich eine ähnliche Extension von Google gibt, die den angekündigten Funktionen entspricht und deren Beschreibung von den Malware-Autoren wörtlich kopiert wurde. Somit werden selbst kritische Opfer doppelt in trügerischer Sicherheit gewogen.

Permanente Umleitung auf Malware-Seite

Scheinbar von Google selbst erhalten die Opfer eine Einladung, die neue Extension zu testen. (Bild: BitDefender)

Klicken User den verseuchten Link aus der Massen-Mail an, laden sie statt des echten Tools von Google den »Trojan.Agent.20577« herunter. Dieser Schädling verändert Windows HOST-Files so, dass der Zugang zu echten Google- und Yahoo-Internetseiten blockiert und umgeleitet wird. Gibt der User dann in der Adressleiste von Chrome »google.*« oder »yahoo.*« mit der jeweiligen Domain ein, wird er zu einer IP-Adresse mit der Bezeichnung 89.149.xxx.xxx. umgeleitet. Diese Adresse befindet sich in den Händen der kriminellen Hintermänner und ist mit weiterer Malware verseucht, die beim Aufruf der Seite auf den Rechner installiert wird.

Zu erkennen ist der täuschend echt gemachte Fake selbst für versierte Nutzer lediglich dadurch sicher, dass das gefälschte Tool statt der für Chrome üblichen ».crx«-Dateiendung eine ».exe«-Datei zur Installation bereitstellt.

Die großen Antiviren-Hersteller haben ihre Software bereits mit entsprechenden Erkennungsmerkmalen ausgestattet um den Trojaner rechtzeitig zu erkennen und stoppen. Ob ein Rechner bereits befallen ist, lässt sich als Sofortmaßnahme auch schnell und einfach mit kostenlosen Online-Virenscannern wie beispielsweise von BitDefender [4] herausfinden.

[1] http://www.google.com/chrome
[2] http://marketshare.hitslink.com/report.aspx?qprid=0
[3] http://www.bitdefender.de/
[4] http://www.bitdefender.de/scanner/online/free.html

Verwandte Artikel