Kryptogeld-Malware: Google sperrt 49 Browsererweiterungen für Chrome

Google hat 49 Erweiterungen für den Browser Chrome gesperrt, die sich als Kryptogelddienste ausgaben, tatsächlich aber Nutzer bestehlen sollten. Konkret tarnten sich die Schad-Erweiterungen als Add-ons für Ledger, Trezor, Jaxx, Electrum, MyEtherWallet, MetaMask, Exodus und KeepKey. Entdeckt und an Google gemeldet hatte sie der Sicherheitsforscher Harry Denley von der Plattform Mycrypto.

Seiner Analyse nach kamen die Fake-Erweiterungen wohl von der gleichen Person oder Personengruppe. Einmal installiert, sollte die Malware dann private Schlüssel, kryptografische Seeds und sonstige Nutzereingaben abgreifen und an Server oder Google-Docs-Formulare unter Kontrolle der Hintermänner weiterleiten. Die Cyberganoven hatten es offenbar nicht eilig, mit einmal erlangten Schlüsseln auch gleich die Wallets leerzuräumen, wie ein Experiment Denleys mit bewusst kompromittierten Adressen nahelegt. Seiner Einschätzung nach haben die Täter den Diebstahl entweder noch nicht automatisiert oder sind vor allem auf besonders hohe Guthaben aus.

Berichte über Diebstähle, die wohl auf diese oder ähnliche Erweiterungen zurückgehen, gebe es dennoch, warnt Denley. Bei einigen der Erweiterungen sei auch ein kleines Netzwerk an Fake-Usern zu beobachten gewesen, die für Fünf-Sterne-Bewertungen und kurze Bewertungstexte sorgten. Die Platzierung der Fake-Erweiterungen sei ab Februar aufgefallen und habe dann zahlenmäßig zugenommen. Dies könne den Beginn einer Welle markieren, ebenso aber auch genauerer Detektion und Beobachtung geschuldet sein, die einfach mehr Fälle findet, so Denley. Eine Liste der betroffenen Extension-IDs findet sich im Blogbeitrag des Sicherheitsforschers auf der Plattform Medium. (axk)