Spyware tarnt sich als Firefox-Erweiterung [Update]
Die Antiviren-Spezialisten von McAfee warnen vor einem Trojanischen Pferd, das sich als Firefox-Erweiterung tarnt. Es spioniert im Browser unter anderem Kreditkartennummern aus und wird offenbar derzeit über Spam-Mails verbreitet.
Die Antiviren-Spezialisten von McAfee warnen vor einem Trojanischen Pferd, das sich als Firefox-Erweiterung tarnt. Es wird offenbar derzeit über Spam-Mails verbreitet, die vorgeblich von Wal-Mart stammen. Öffnet der Empfänger den Mail-Anhang auf einem Windows-System, installiert sich der Trojaner als Firefox-Erweiterung und gibt sich als die tatsächlich existierende Extension numberedlinks aus. Anschließend fängt es im Browser unter anderem eingegebene Passwörter und Kreditkartennummern ab, die es an einen externen Server verschickt. McAfee hat das Trojanische Pferd auf den Namen FormSpy getauft, stuft seine Verbreitung allerdings derzeit noch als gering ein.
[Update: Der Dateianhang der Mail besteht aus einem ausführbaren Windows-Programm, dem Downloader-AXM. Einmal gestartet, lädt er die Erweiterung aus dem Internet nach und trägt sie direkt in die Konfigurationsdateien von Firefox ein, was den regulären Installationsvorgang umgeht.] Normalerweise werden Firefox-Erweiterungen als sogenannte XPI-Dateien vertrieben, vor deren Installation der Anwender nach einer Bestätigung gefragt wird, die er erst nach einer mehrsekündigen Bedenkzeit erteilen kann.
In einem Blog-Eintrag fordert Geok Meng Ong von den McAfee Avert Labs Anwender zu extremer Vorsicht bei der Installation unsignierter Firefox-Erweiterungen aus nicht vertrauenswürdigen Quellen auf. Diese gutgemeinte Warnung geht in diesem Fall gleich mehrfach in die falsche Richtung. Zum einen lassen sich Erweiterungen nur von sehr wenigen speziellen Web-Seiten ohne zusätzliche Freigabe installieren. Des weiteren gibt es derzeit so gut wie keine signierten Erweiterungen für Firefox oder Mozilla. Und schließlich hätte dieser Mechanismus gegen diese Attacke nicht geschützt. Denn wenn der Anwender einen Dateianhang öffnet und damit ein fremdes Programm auf seinem Rechner ausführt, verfügt es automatisch über alle Möglichkeiten, die der Anwender auch hat.
Ein effizienter Schutz gegen derartige Angriffe ist der Ansatz, grundsätzlich keine Dateianhänge zu öffnen, die man nicht angefordert hat. Man sollte sich auch nicht auf eine scheinbar vertrauenswürdige Absenderadresse verlassen, da diese einfach gefälscht werden kann. Im Zweifelsfall kann man sich den Versand vom vorgeblichen Empfänger beispielsweise telefonisch bestätigen lassen. Weitere Tipps zum sicheren Umgang mit E-Mail gibt der c't Emailcheck.
Siehe dazu auch: (ju)
- Beschreibung zu Formspy von McAfee
- Beschreibung zu Downloader-AXM von McAfee
- Spying Gecko Blog-Eintrag der McAfee Avert Labs