Facebook von schädlichen Browser-Add-ons attackiert

Microsoft warnt vor dem Erscheinen schädlicher Erweiterungen für die Browser Firefox und Chrome, die es Cyberkriminellen ermöglichen, die Facebook-Profile der Opfer entfernt zu kontrollieren. Die Experten des Unternehmens registrieren eine Zunahme der mit diesen Add-ons assoziierten Aktivität, insbesondere in Brasilien. Der Schädling wird von den Schutzlösungen von Microsoft als Trojan:JS/Febipos.A detektiert.

Der Trojaner überwacht die Aktivität des Opfers, indem er die Facebook-Sitzungen verfolgt. Er versucht, von der Website <Platzhalter>.info/sqlvarbr.php die Konfigurationsdatei zu erhalten, die die Befehlsliste für das weitere Vorgehen enthält. Febipos kann Mitteilungen auf der Profilseite des Opfers posten, es in Gruppen registrieren und andere Anwender dorthin einladen, an Chats teilnehmen und Kommentare zu Postings hinterlassen. Zum gegenwärtigen Zeitpunkt hat Microsoft auf den Profilseiten der Opfer lediglich provokante Mitteilungen in portugiesischer Sprache gefunden. Diese Mitteilungen enthalten Links auf einen gewissen „Videoclip“, in dem angeblich ein Selbstmord gezeigt wird, der aufgrund von Cyberstalking verübt wurde. Facebook hat diesen Link bereits als schädlich eingestuft und blockiert.

Febipos verfügt über die Funktionalität eines Droppers und installiert auf dem infizierten System einen Backdoor. Sofort nach der Installation nimmt der Schädling Verbindung zu der Domain du-pont.info auf und versucht, ein Update zu empfangen. Das weitere Vorgehen von Febipos und der Text der von ihm zu veröffentlichenden Mitteilungen hängen von dem Inhalt der Konfigurationsdatei ab, die von der im obigen Absatz erwähnten Adresse geladen wird. Eins der Samples, das von den Experten gefunden wurde, brachte es bei Facebook auf 2746 „Likes“, wurde 167 verbreitet und erhielt 165 Kommentare, was von einer nicht geringen Zahl potentieller Opfer zeugt. Im Laufe einiger Stunde nach einer vorläufigen Analyse stiegen alle diese Werte deutlich an.

Die Experten warnen, dass der neue Trojaner sich als höchst infektiös erweisen könnte: Er ist in der Lage, die Mitteilungsschablone, die schädlichen URL und die Facebook-Seiten austauschen und hat noch viele weitere Tricks auf Lager. Für Nutzer sozialer Netzwerke, die den Internet Explorer verwenden, stellt er übrigens keine Gefahr dar.

Google und Mozilla haben vor kurzem eine zusätzliche Schutzebene vor Internetbedrohungen eingeführt, die als Browsererweiterungen getarnt sind. Im vergangenen Dezember gab Google die Einführung eines Mechanismus‘ bekannt, der es ermöglicht, die Installation von Erweiterungen für Chrome im Hintergrundmodus zu blockieren. Früher konnten diese ohne Zutun des Anwenders geladen werden, mit Hilfe eines besonderen Windows-Mechanismus‘, mit dessen Hilfe Erweiterungen zusammen mit anderen Anwendungen installiert werden konnten. Dieses Verfahren war komfortabel für Drittentwickler, die mit beliebigen Mitteln versuchen, ihre Kundendatenbank zu erweitern.

Von nun an ist der Hintergrundmodus für die Installation von Erweiterungen für Chrome standardmäßig deaktiviert. Bei dem Versuch, ein Add-on zu laden, wird dem Anwender ein Dialogfenster angezeigt, das ihn über die Folgen eines solchen Downloads für den Browser und die möglichen Risiken informiert. Der neue Mechanismus deaktiviert zudem automatisch Erweiterungen, die vorher mit alternativen Methoden installiert wurden.

Mozilla hat seinerseits mit der Veröffentlichung von Firefox 17 im vergangenen November dem Browser eine click-to-play-Funktionalität hinzugefügt, die den Start von veralteten oder verwundbaren Erweiterungen und Plug-Ins verhindert. Die Entwickler hoffen auf diese Weise, die Nutzer von Firefox vor Exploits zu schützen, die sich gegen frühere Versionen von Plug-Ins richten, wie etwa Adobe Flash und Reader.

Quelle: Microsoft

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.