Browsererweiterungen sind für Millionen von Nutzern, die möchten, zu einem alltäglichen Werkzeug geworden. Verbessern Sie Ihr Nutzungserlebnis in Chrome, Firefox oder Edge.Sie dienen der Übersetzung von Webseiten, dem Blockieren von Werbung, der Passwortverwaltung oder der Beschleunigung des Surfens und lassen sich in der Regel mit wenigen Klicks aus offiziellen App-Stores installieren. Gerade wegen dieser Bequemlichkeit überprüfen viele Nutzer kaum, wer hinter den einzelnen Add-ons steckt oder welche Berechtigungen diese anfordern.
Dieses Versäumnis öffnet Cyberkriminellen die Tür, Erweiterungen als stiller Kanal zum Ausspionieren und Stehlen von DatenEine kürzlich durchgeführte Kampagne mit dem Namen GhostPoster hat deutlich gemacht, wie gefährlich dieser Angriffsvektor ist: Betrügerische Erweiterungen integrieren sich so, als wären sie legitim, funktionieren scheinbar normal und können jahrelang aktiv bleiben, ohne Verdacht zu erregen, während gleichzeitig die Benutzeraktivitäten überwacht werden.
Was ist die GhostPoster-Kampagne und warum ist sie besorgniserregend?
Untersuchungen mehrerer Cybersicherheitsfirmen, darunter KOI und LayerXSie haben eine groß angelegte Operation aufgedeckt, die die offiziellen Erweiterungs-Stores von Mozilla Firefox, Google Chrome und Microsoft Edge ausnutzt. Im Rahmen der GhostPoster-Kampagne wurden Dutzende von Add-ons identifiziert, die zusammengenommen … Es sind mehr als 840.000 Installationen. Weltweit eine Zahl, die einen Eindruck vom Ausmaß des Problems vermittelt.
Diese bösartigen Erweiterungen sind als alltägliche Werkzeuge getarnt: Seitenübersetzer, Werbeblocker, sogenannte VPNs oder Dienstprogramme zur Verwaltung von Downloads. Nach der Installation laufen sie im Hintergrund, überwachen die Aktivitäten des Opfers im Browser, greifen auf Browserdaten zu und aktivieren in einigen Fällen Hecktüren, die die Fernsteuerung der Geräte ermöglichen.
Besonders besorgniserregend ist, dass viele dieser Erweiterungen schon seit langer Zeit in offiziellen Katalogen erhältlich sind, was bedeutet, dass Sie haben die Prüffilter des Chrome Web Stores, des Firefox-Add-ons-Stores und des Edge-Stores bestanden.Den veröffentlichten Analysen zufolge sind einige davon bereits seit 2020 in Betrieb, was es ermöglicht hat, die Kampagne nachhaltig und ohne größere Störungen fortzuführen.
Innerhalb von GhostPoster haben Experten außerdem Folgendes festgestellt: eine fortgeschrittenere und schwerer zu durchschauende Variante Diese Version allein hat bereits über 3.800 Installationen erreicht. Sie zeichnet sich durch ihre Fähigkeit aus, Kontrollen zu umgehen und sich in scheinbar legitime Erweiterungen einzufügen, wodurch es für die Nutzer noch schwieriger wird, einen Fehler zu erkennen.
Wie bösartige Erweiterungen hinter GhostPoster funktionieren
Browsererweiterungen, egal ob für Chrome, Firefox oder Edge, sind tief in die Software integriert und können Inhalte von Webseiten lesen und bearbeitenDies umfasst den Zugriff auf Cookies, den Browserverlauf und in manchen Fällen die Interaktion mit dem Betriebssystem. Bei einer gut konzipierten Erweiterung dient all dies der Bereitstellung nützlicher Funktionen; bei einer bösartigen Erweiterung wird derselbe Zugriff zu einer präzisen Waffe für Angreifer.
Im Fall von GhostPoster liegt der Schlüssel darin, dass die schädliche Komponente sorgfältig verschleiert wird. Untersuchungen deuten darauf hin, dass die Verantwortlichen für die Kampagne … Sie verstecken einen Teil des JavaScript-Codes im PNG-Bild des Erweiterungssymbols.Diese Technik, bekannt als Steganografie, ermöglicht es, Informationen in scheinbar harmlosen Dateien zu tarnen, sodass auf den ersten Blick nur ein normales Logo zu sehen ist, sich aber im Inneren der Code befindet, der später ausgeführt wird.
Dieser versteckte Code wird nach der Installation der Erweiterung aktiviert und ist verantwortlich für Nutzeraktivitäten in Echtzeit ausspionierenEs kann aufzeichnen, welche Seiten besucht, welche Formulare ausgefüllt oder welche Dienste genutzt werden, und sensible Informationen wie Anmeldedaten oder Sitzungstoken abfangen. In bestimmten Fällen lädt es auch zusätzliche Module herunter, die letztendlich… Eine Hintertür in den betroffenen Geräten öffnenDadurch erhalten Angreifer die Möglichkeit, sich aus der Ferne zu verbinden.
Durch den Einsatz von Steganografie gelingt es Cyberkriminellen, die schädliche Komponente bei automatisierten Überprüfungen von Erweiterungsstores relativ unbemerkt zu lassen. Analysesysteme überprüfen typischerweise den sichtbaren Code und das deklarierte Verhalten.Sie erkennen jedoch möglicherweise nicht, dass der eigentliche Kern des Angriffs in einem einfachen Bild verborgen ist. Dieser Ansatz erschwert es Plattformen, die Verbreitung betrügerischer Plugins einzudämmen.
Darüber hinaus ahmen die mit GhostPoster verknüpften Add-ons die Funktionen der legitimen Tools, die sie nachahmen sollen, recht genau nach. Sie bieten beispielsweise Seitenübersetzung oder einfache Werbeblockierung an, was das Gefühl der Normalität verstärkt. Solange der Nutzer glaubt, eine nützliche Erweiterung zu verwenden, Im Hintergrund wird ein ständiger Informationsfluss zu den vom Angreifer kontrollierten Servern erzeugt..
Die Rolle von KOI und LayerX bei der Entdeckung der Kampagne
Der GhostPoster-Skandal entstand nicht über Nacht. Im Dezember analysierten Analysten des Sicherheitsunternehmens KOI Sie entdeckten eine erste Gruppe von 17 schädlichen Erweiterungen, die im offiziellen Mozilla Firefox Store veröffentlicht worden waren. Alle zielten auf Nutzer ab, die nach gängigen Hilfsprogrammen suchten, und wurden zusammen über 50.000 Mal heruntergeladen.
Kurz darauf setzte das Cybersicherheitsunternehmen LayerX die Untersuchung fort und stellte fest, dass… ein weiteres Paket mit 17 ähnlichen Add-ons Die Kampagne wurde über die Browserkataloge von Microsoft Edge und Google Chrome verbreitet. Durch diese neuen Erkenntnisse schnellte die Gesamtzahl der Installationen von GhostPoster über alle drei Browser hinweg auf über 840.000 in die Höhe, was der Kampagne zu einer bedeutenden globalen Wirkung verhalf.
Die veröffentlichten Berichte legen detailliert dar, dass Alle diese Erweiterungen wiesen gemeinsame Verhaltensmuster auf. Die sehr ähnlichen technischen Strukturen ließen den Schluss zu, dass sie Teil desselben koordinierten Vorhabens waren. Zu den identifizierten Zielen gehörten die Echtzeit-Navigationsüberwachung, die massenhafte Datenerfassung und die unbemerkte Integration von Hintertüren in die Geräte.
Im Rahmen der Analyse betonten KOI und LayerX, dass die Operation GhostPoster kein Einzelfall, sondern vielmehr ein Beispiel dafür sei eine Strategie, die über mehrere Jahre beibehalten wurde Die Forscher betonen, dass die Kombination aus einer großen Anzahl von Installationen und der späten Erkennung es Angreifern ermöglicht hat, ihre aktiven Kampagnen mit viel Handlungsspielraum aufrechtzuerhalten.
Laut Experten stehen die Browserhersteller selbst vor einer komplexen Aufgabe: Erkennung schädlicher Tools, die beliebte Dienste imitierenObwohl automatisierte Kontroll- und Überprüfungsprozesse existieren, zeigt die Erfahrung, dass diese nicht immer ausreichen, um Erweiterungen zu stoppen, die fortgeschrittene Verstecktaktiken wie die von GhostPoster anwenden.
Wer steckt dahinter: die Darkspectre-Gruppe und ihre vorherigen Kampagnen
Die Ermittlungen deuten auf einen bekannten Akteur im Bereich der Cybersicherheit hin: DarkspectreDiese Gruppe nutzt seit Jahren Browsererweiterungen zur Verbreitung von Schadsoftware und wird für frühere Aktionen wie ShadyPanda und The Zoom Stealer verantwortlich gemacht, die sich technische Ressourcen und Infrastruktur mit GhostPoster teilen.
Den gesammelten Daten zufolge hat Darkspectre seine Taktiken im Laufe der Zeit perfektioniert. Frühere Kampagnen zeigten bereits ein besonderes Interesse daran, über scheinbar vertrauenswürdige Kanäle einzudringen.Ähnlich wie offizielle Zubehörläden wäre GhostPoster in diesem Sinne eine Weiterentwicklung eines Geschäftsfelds, das darauf abzielt, maximale Reichweite zu erzielen, ohne sofort Aufsehen zu erregen.
LayerX erklärt, dass die Verfolgung der in GhostPoster, ShadyPanda und The Zoom Stealer verwendeten Infrastruktur Folgendes ermöglicht hat: die technische Entwicklung dieser Bedrohungen zu dokumentierenForscher haben beobachtet, wie Domänen, Server und Codefragmente bei verschiedenen Angriffen wiederverwendet werden, wobei die Werkzeuge an die von den Plattformen implementierten Sicherheitsmaßnahmen angepasst werden.
Eines der Elemente, das Sicherheitsfirmen am meisten beunruhigt, ist Folgendes: Einige mit Darkspectre verknüpfte Erweiterungen sollen Berichten zufolge seit 2020 aktiv geblieben sein. ohne entdeckt zu werden. Diese Hartnäckigkeit unterstreicht sowohl die Raffinesse der Angreifer als auch die Grenzen automatisierter Prüfsysteme, die nicht immer in der Lage sind, schädliche Muster zu erkennen, wenn diese in ungewöhnlichen Komponenten wie grafischen Symbolen verborgen sind.
Die Berichte deuten außerdem darauf hin, dass aus operativer Sicht GhostPoster setzt auf hochentwickelte Ausweichtechniken.Zu diesen Maßnahmen gehören das verzögerte Laden von Komponenten, die Aktivierung nur unter bestimmten Navigationsbedingungen und die Nutzung diskreter Kommunikationswege mit den Kommando- und Kontrollservern. All dies trägt dazu bei, Störungen zu reduzieren und so lange wie möglich unentdeckt zu bleiben.
Erweiterungen, ein immer häufiger auftretender Angriffsvektor
Neben GhostPoster warnen Experten schon lange vor Erweiterungen. ein wiederkehrendes Ziel für CyberkriminelleIhre Popularität und das Vertrauen, das sie dadurch gewinnen, dass sie angeblich aus offiziellen Shops stammen, machen sie zu einem idealen Kanal, um Schadsoftware unbemerkt einzuschleusen, ohne dass der Benutzer etwas merkt.
In vielen Fällen laden die Opfer diese Add-ons herunter, weil Sie versprechen attraktive und kostenlose FunktionenDiese Erweiterungen können Ihnen helfen: störende Werbung zu entfernen, Ihre Privatsphäre zu verbessern, Ihren Browser zu beschleunigen oder wiederkehrende Aufgaben zu automatisieren. Das Problem ist jedoch, dass die Erweiterung, sobald die Berechtigungen erteilt wurden, auf eine beträchtliche Menge an Informationen zugreifen kann, ohne erneut um Autorisierung bitten zu müssen.
Kampagnen wie GhostPoster zeigen, dass selbst dann, wenn die Erweiterung einige ihrer Versprechen einlöst, könnten verdeckte Aktivitäten durchführenMit anderen Worten: Das Plugin kann Werbung blockieren oder Seiten normal übersetzen, gleichzeitig aber Browserdaten sammeln, Anmeldeinformationen abfangen oder mit externen Servern kommunizieren, um neue Anweisungen herunterzuladen.
Der Einsatz von Techniken wie Bildsteganografie oder die Ausführung verschleierten Codes erschwert die Analyse erheblich. Traditionelle Sicherheitssysteme suchen in der Regel nach bekannten Mustern.Wenn sich jedoch bösartiger Code in Grafikdateien versteckt oder in kleinen Teilen auf verschiedene Komponenten verteilt wird, gestaltet sich die Identifizierung wesentlich schwieriger.
Dieses Szenario zwingt sowohl Browserentwickler als auch die Erweiterungsstores dazu, Stärkung der VerifizierungsmechanismenExperten weisen darauf hin, dass es notwendig sein wird, eine tiefergehende automatisierte Analyse, manuelle Prüfungen und eine verstärkte Überwachung des tatsächlichen Verhaltens von Erweiterungen nach ihrer Veröffentlichung zu kombinieren, insbesondere solcher, die innerhalb kurzer Zeit eine hohe Anzahl von Installationen erreichen.
Auswirkungen auf Nutzer in Europa und grundlegende Empfehlungen
Die GhostPoster-Kampagne hat eine globale Reichweite, aber Es betrifft auch Nutzer in Spanien und dem Rest Europas.In Großbritannien werden Chrome, Firefox und Edge im privaten und beruflichen Umfeld nahezu ausschließlich als Browser genutzt. Wer in den letzten Jahren Übersetzungs-Erweiterungen, Werbeblocker oder VPNs installiert hat, könnte gefährdet sein, falls sich die entsprechende Erweiterung auf einer Liste schädlicher Programme befand.
Europäische Behörden und Einsatzteams nutzen Berichte von Unternehmen wie KOI und LayerX als Referenz für Aktualisieren Sie Ihre Benachrichtigungen und ComputersicherheitsstandardsGenerell empfiehlt es sich, installierte Erweiterungen regelmäßig zu überprüfen und nicht mehr benötigte oder solche mit unklarer Herkunft zu deinstallieren. Es kommt häufig vor, dass sich Add-ons ansammeln, die einmal verwendet und dann vergessen wurden, aber weiterhin Zugriff auf den Browser haben.
Um Risiken zu minimieren, raten Experten: Erweiterungen, die von anerkannten Organisationen entwickelt wurden, sollten vorrangig berücksichtigt werden.Prüfen Sie die Bewertungen und die Nutzerzahlen und seien Sie vorsichtig bei Lösungen, die zu viele Funktionen in einem einzigen Paket versprechen. Es empfiehlt sich außerdem, die angeforderten Berechtigungen vor der Installation zu überprüfen, insbesondere wenn ein Add-on ohne zwingenden Grund vollen Zugriff auf alle Browserdaten anfordert.
Im Wirtschaftssektor, wo das Surfen im Internet häufig den Zugriff auf sensible Informationen und interne Dienste beinhaltet, führen europäische Organisationen spezifische Richtlinien ein, um Kontrolle darüber, welche Erweiterungen auf Firmenrechnern verwendet werden dürfenGängige Maßnahmen umfassen die Erstellung von Whitelists zulässiger Add-ons, die zentrale Überwachung und den Einsatz von Sicherheitslösungen, die die Browseraktivität überwachen können.
Experten empfehlen Nutzern, die vermuten, eine potenziell schädliche Erweiterung installiert zu haben, Folgendes: Entfernen Sie das Add-on und führen Sie einen Scan mit einem zuverlässigen Antivirenprogramm durch. Sollten weiterhin Zweifel bestehen, konsultieren Sie einen Cybersicherheitsexperten. Bei komplexen Kampagnen wie GhostPoster reicht die einfache Deinstallation der Schadsoftware möglicherweise nicht aus, wenn zusätzliche Schadsoftware auf dem System installiert wurde.
Der GhostPoster-Fall verdeutlicht das Ausmaß, in dem Das blinde Vertrauen in offizielle Erweiterungs-Shops kann riskant sein.Obwohl sie nach wie vor den sichersten Schutz vor Downloads von unbekannten Websites bieten, zeigt die Erfahrung, dass sie nicht unfehlbar sind und Angreifer Wege finden, ihre Sicherheitsvorkehrungen zu umgehen. Eine Kombination aus kritischerem Umgang der Nutzer, strengeren Prüfverfahren und kontinuierlicher Überwachung durch Sicherheitsunternehmen wird entscheidend sein, um ähnliche Angriffe künftig einzudämmen.
