Add-ons infiltrieren Browser, tracken Nutzer und verweisen auf Malware

Eine ganze Schar von Webbrowser-Erweiterungen schleicht sich über verschiedene Software-Bundles ein und nervt mit geschickt platzierten Werbeeinblendungen. Dabei verfolgen sie auch die Fährte von Nutzern im Internet und sammeln Daten.

In Pocket speichern vorlesen Druckansicht 168 Kommentare lesen
Add-ons infiltrieren Browser, tracken Nutzer und verweisen auf Malware

Die von den Add-ons platzierte Werbung fügt sich stimmig auf Internetseiten ein.

(Bild: Cisco)

Lesezeit: 3 Min.
Inhaltsverzeichnis

Um Geld in ihre Kassen zu spülen, verstecken Abzocker Adware-Add-ons in vermeintlich seriösen Software-Bundles, die die Erweiterungen heimlich im Webbrowser installieren. Anschließend jubeln diese dem Nutzer auf geschickte Art und Weise Werbung unter die zu Malware führt und greifen Nutzerdaten ab. Das hat das Telekommunikations-Unternehmen Cisco im Zuge einer einjährigen Untersuchung dokumentiert.

Bei den heimtückischen Erweiterungen handele es sich um eine ganze Schar von Add-ons mit ähnlichem Verhalten, die sich den Cisco-Forschern zufolge mit über 4.000 verschiedenen Namen tarnen. Den Weg in den Webbrowser finden die Add-ons indes über die Installation verschiedener Software-Bundles. Cisco begegnete etwa die MediaBuzz-Erweiterung in einem Anwendungs-Paket von NullSoft.

Im MediaBuzz-Add-on fanden sie eine DLL-Bibliothek, die vor der Installation diverse Checks durchführt. Unter anderem prüfe dabei eine Routine, ob eine Virtualisierung oder Emulation auf dem Zielrechner zum Einsatz kommt. Passt alles, finde die Integration in den jeweiligen Webbrowser im schlechtesten Fall vom Anwender unbemerkt statt. Nutzer von Googles Chrome profitieren in diesem Fall von einer Whitelist-Warnung, denn Google lässt die Installation von Dritt-Anbieter-Plug-ins nicht ohne weiteres zu. Firefox geht an dieser Stelle weniger rigoros vor und gestattet eine Integration ohne Nachfrage beim Anwender.

Im Zuge der Nachforschungen hat Cisco unzählige URLs analysiert und herausgefunden, dass die Add-ons verschiedene Nutzer-Informationen übertragen. Diese finden sich dann etwa Base64-codiert wieder. Dort wird unter anderem die letzte vom Nutzer besuchte Internetseite abgelegt. Cisco weist darauf hin, dass in dieser URL auch firmeninterne Ressourcen oder sogar Benutzernamen und E-Mail-Adressen auftauchen könnten.

Um Werbung in besuchte Internetseiten einzubetten, injizieren die Add-ons ein Code-Geflecht, das mehrere URLs enthält, von denen die Werbung letztlich geladen wird. Bei diesen Internetadressen handelt es sich Cisco zufolge um Adressen, die über einen Domain-Erzeugungs-Algorithmus basierend auf Begriffen aus einem Wörterbuch erzeugt wurden. Dabei haben sie im Zeitraum von Januar 2014 bis November 2014 570 derartige Domains gezählt. Die eigentliche Einblendung der Werbung geschehe indessen auf eine sehr unauffällige Art und Weise und es habe den Anschein, als wäre die Anzeige passgenau in der jeweiligen Internetseite verankert. Zudem seien die Werbeanzeigen auf das jeweilige Betriebssystem zugeschnitten. (des)