Ausgemistet: Google hat über 500 mit Malvertising verseuchte Chrome-Extensions aus dem Store entfernt. (Foto: Shutterstock)

Über 500 mit Werbeschädlingen verseuchte Chrome-Extensions hat Google aus dem Store seines Browsers entfernt. Angestoßen hatte die virtuelle Razzia die Sicherheitsforscherin Jamila Kaya.

Während einer Routine-Suche nach Bedrohungen in Chrome-Erweiterungen entdeckte Jamila Kaya wiederkehrende Muster in den URL gefährlicher Websites, auf die verschiedene Browser-Erweiterungen umleiteten.

Wie sie im Interview mit ZDNet sagte, gab sie nach einer Zusammenarbeit mit Cisco Duo Security daraufhin dem zuständigen Team bei Google Bescheid, das seine eigenen Nachforschungen anstellte. Das Ergebnis: Über 500 Erweiterungen im Store hatten schädlingsverseuchte Werbung im Gepäck. Google sortierte sie aus und deaktivierte sie übrigens auch direkt in euren Browsern – wenn ihr denn unter den betroffenen Usern seid.

Die Erweiterungen blendeten Werbeanzeigen ein, die nach dem Anklicken User auf Phishing-Websites und in andere gefährliche Internetgegenden umleiteten. Die Praxis wird auch Malvertising genannt.

Von Routineüberprüfung zur großangelegten Säuberung

Kaya arbeitete nach ihrer Entdeckung zwei Monate lang mit dem Team von Cisco Duo Security zusammen, bevor man sich gemeinsam an Google wandte. Schon für ihre ursprüngliche Entdeckung nutzte sie den von Duo Security entwickelten Analysedienst CRXcavator, der natürlich in der folgenden Zusammenarbeit verstärkt eingesetzt wurde.

Die Ergebnisse der Untersuchung veröffentlichte Cisco Duo nun im Nachgang. Sie zeigen unter anderem, dass die Malware-Erweiterungen Teil einer größeren und potenziell schon zwei Jahre andauernden Operation sein könnten. Die dafür verantwortliche Gruppe sei möglicherweise bereits seit 2010 aktiv.

Umleitungen laut und auffällig

Bei Googles folgender eigener Untersuchung fanden sich noch weitere gefährliche Erweiterungen – sie alle sind nun raus aus dem Store. Insgesamt könnten jedoch über die Jahre mehrere Millionen Nutzer den Schädlingen zum Opfer gefallen sein.

Bemerkenswert war an der ganzen Geschichte laut Kaya besonders die Auffälligkeit der gefährlichen Werbeanzeigen. Bei anderen Malvertising-Versuchen sind diese möglichst unauffällig designt und wollen so „unter dem Radar fliegen“. Im Falle der nun aus dem Chrome-Store entfernten Extensions sah das laut Kaya anders aus: „Obwohl die Redirects [Werbeanzeigen mit Umleitung auf gefährliche Websites] von Netzwerkseite aus unglaublich laut und auffällig waren, berichteten keine interviewten Anwender von allzu aufdringlichen Redirects.“

Mehr zum Thema:

Leave a Reply