Trojaner in Firefox-Add-on stiehlt Zugangsdaten für Banken

Der "Trojan.PWS.ChromeInject" getaufte Schädling liest aufgerufene URLs mit und loggt die Login-Daten mit, wenn der Anwender bestimmte Bankenseiten öffnet - dazu gehören auch deutsche Banken.

In Pocket speichern vorlesen Druckansicht 281 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Daniel Bachfeld

Der Antivirenhersteller BitDefender hat nach eigenen Angaben einen Passwort-stehlenden Windows-Trojaner entdeckt, der sich als Add-on in Firefox integriert. Der Trojan.PWS.ChromeInject getaufte Schädling liest die aufgerufenen URLs mit und loggt die Login-Daten mit, wenn der Anwender bestimmte Bankenseiten öffnet.

Die dafür integrierte Liste umfasst mehr als 100 URLs von Banken und Dienstleistern, darunter auch Barclays, Wachovia und PayPal. Deutsche Banken stehen zwar nicht explizit in der Liste, allerdings liest das Add-on bei URLs mit, die zu "banking.*.de" passen, was beispielsweise bei der Deutschen Kreditbank (banking.dkb.de) und der Postbank (banking.postbank.de) der Fall ist.

Wie das Add-on auf den Rechner gelangt, ist noch nicht genau geklärt, vermutlich durch einen normalen Download durch den Anwender, möglicherweise auch durch einen Drive-By-Download aufgrund einer Sicherheitslücke. Es soll sich nach der Installation als "Greasemonkey" ausgeben, einem bekannten Add-on, mit dem Anwender Webseiten durch eigene JavaScripts aufpeppen oder ausbessern können. Die gesammelten Daten schickt der Trojaner an einen Server in Russland.

Nach Angaben der Mozilla Foundation stamme das bösartige Add-on keinesfalls aus den Mozilla-Repositories. Die Foundation überprüft seit Beginn des Jahres alle Add-ons auf mögliche Malware, nachdem ein Sprachpaket unerwünschten Code enthielt und Anwendern Werbung präsentierte. Grundsätzlich empfiehlt der Hersteller des Firefox-Browsers, nur signierte Add-ons in Firefox zu installieren. (dab)