Gekaperte Browser-Erweiterung Copyfish zum Spam-Versand missbraucht

Laut einer am Sonntag von A9t9 Software veröffentlichten Erklärung wurde nur die Google Chrome-Erweiterung gekapert. Andere Versionen, wie etwa die OCR-Erweiterung für Firefox, sind nicht betroffen. In einem am Montag geposteten Blogeintrag berichtet das Unternehmen, dass der Ärger am Freitag begann, als es eine E-Mail erhielt, von der es glaubte, dass sie von Google stammte und in der der App-Entwickler aufgefordert wurde, seine Copyfish-App zu aktualisieren, andernfalls würde sie aus dem Google Play Store entfernt. Die E-Mail lautete im Original:

„Your Google Chrome item, ‚Copyfish Free OCR Software,‘ with ID: [redacted] did not comply with our program policies and will be removed from the Google Chrome Web Store unless you fix the issue. Please login to your developer account [link redacted] for more information.“

(Ihr Google Chrome Add-on, ‚Copyfish Free OCR Software‘ mit der ID: [redigiert] ist nicht mit unseren Richtlinien zu vereinbaren und wird aus dem Google Chrome Web Store entfernt, wenn Sie das Problem nicht beseitigen. Loggen Sie sich mit Ihrem Entwickler-Account [Link redigiert] ein, um weitere Informationen zu erhalten.)

Daraufhin klickte ein nichtsahnender Mitarbeiter auf den Link, woraufhin ein „Google“-Dialogfenster zur Eingabe des Passwortes aufploppte. Laut einer Erklärung des Unternehmens A9t9 Software „gab das unglückliche Teammitglied das Passwort für unseren Entwickler-Account ein.“

Das hatte zur Folge, dass die Copyfish-Erweiterung für Google Chrome am Samstag automatisch innerhalb einer nicht bekannten Zahl von Browsern auf eine betrügerische Version der Software (v.2.8.5) aktualisiert wurde. Am darauffolgenden Tag bemerkten die Copyfish-Entwickler, dass die neue Version der Erweiterung Werbung und Spam auf die Websites einschleuste.

„Wir haben die Auswirkungen selbst bemerkt, da wir selbstverständlich auch Copyfish auf unseren Rechnern laufen haben. Doch es dauerte eine Weile, bis uns klar wurde, dass tatsächlich unsere eigene Erweiterung für die Adware verantwortlich war,“ heißt es in der Erklärung des Unternehmens.

Dann wurde dem Unternehmen zufolge alles nur noch schlimmer.

„Wir loggten uns in unseren Entwickler-Account ein und – bamm — unsere Copyfish-Erweiterung war weg! Anscheinend hatten die Hacker/Diebe/Idioten sie auf IHREN Entwickler-Account verschoben. Wir haben derzeit keinen Zugriff darauf!“ schrieb das Unternehmen.

Laut Angaben von A9t9 hat das Unternehmen die Kontrolle über die Google Chrome-Erweiterung verloren und ist noch nicht einmal mehr in der Lage, das Add-on auf betroffenen Chrome-Browsern zu deaktivieren. „Das Update sieht bisher aus wie ein gewöhnlicher Adware-Hack, doch da wir derzeit keine Kontrolle über Copyfish haben, könnten die Diebe die Erweiterung erneut aktualisieren… bevor wir sie zurückerhalten. Wir können sie noch nicht einmal deaktivieren, da sie sich nicht mehr in unserem Entwickler-Account befindet.“

Am Montag bemerkte ein Copyfish-Nutzer der an HackerNews postete, dass die Copyfish-Hacker UNPKG.com und Node Package Manager verwendeten, um die Adware über die Chrome-Erweiterung zu verbreiten.

„Ich habe beide Services erreicht und um Abschaltung gebeten. Das wird sie hoffentlich zumindest vorübergehend stoppen“, schreibt der gute Cyber-Samariter auf der HackerOne-Website.

Dadurch wurde die Adware nach den Worten der Copyfish-Entwickler fürs Erste gestoppt. „Das Problem ist, dass wir noch immer keine Kontrolle über Copyfish haben, daher könnte es sein, dass die Diebe die Erweiterung erneut updaten“, sagte er.

Das Unternehmen gibt an, aktuell mit dem Google Developer Support an einem Fix zu arbeiten. Andere Informationen sind nicht verfügbar.

Im Nachhinein betrachtet, gab es laut A9t9 Software einige kleine, aber wichtige Hinweise, die jeden Entwickler hellhörig hätten machen müssen. Zunächst einmal forderte der Google Tech Support, in dessen E-Mail A9t9 Software um die Aktualisierung seiner Copyfish-Software gebeten wurde, den Mitarbeiter auf, eine kostenlose Version der Web-basierten Kundensupport-Plattform Freshdesk zu besuchen.

„Ich weiß noch, wie ich dachte ‚Google benutzt also Freshdesk? Das ist aber interessant …'“, erinnert sich der Autor des A9t9 Software-Blogs an den Patzer mit der Browser-Erweiterung.

Das zweite Warnsignal, das unbeachtet blieb, war die Verwendung eines Bitly-Links in der Phishing-Mail. Der Link war für den Mail-Empfänger nicht sofort sichtbar, da die E-Mail HTML-basiert war. „Diese Lektion haben wir auch gelernt: Zurück zum Einfachen, Text-basierte E-Mails als Standard“, hieß es im Blogpost des Unternehmens.

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.