Check Point entdeckt bösartige Google Chrome-Erweiterung, die Login-Daten stiehlt und Nutzer überwacht

malicious-code-g3b4e96a05_1920

Die Malware kann zudem Adware installieren, Suchanfragen auf Phishing-Seiten umleiten und sich eigenständig neue Befehle hinzufügen

Kürzlich entdeckte Check Points Infinity XDR, eine Plattform für softwareübergreifende Gefahrenerkennung, die später in diesem Jahr offiziell verfügbar sein wird, eine bösartige Chrome-Erweiterung. Das Add-On verändert Chrome-LNK-Dateien (Verknüpfungen zur Chrome-Browseranwendung) und fügt ihnen schadhafte Argumente hinzu. Chrome-Erweiterungen sind beliebt, weil sie die Funktionalität des Browsers ausdehnen können. Diese bösartige Erweiterung namens Paon kann jedoch Anmeldeinformationen und Benutzerdaten sammeln, Browser-Cookies stehlen, Adware installieren, Suchanfragen auf Phishing- oder Spam-Seiten umleiten und einiges mehr.

Die Malware verwendet zwei Argumente, um laufend LNK-Dateien des Browsers zu überschreiben. Diese zwingen die Erweiterung dazu, selbstständig und ohne Benutzerinteraktion zu laden. Jedes Mal, wenn der Nutzer Chrome mit einer LNK-Datei startet, wird die Erweiterung geladen. Sie stiehlt die Cookies des Benutzers und erhält ohne vorherige Anmeldung Zugriff auf jedes Konto des Browsers. Nach der Installation übernimmt sie die vollständige Kontrolle über jede Browsersitzung und kann alle HTML- und Java-Skripte ändern. Die Datei “poan.exe” übernimmt alle LNK-Dateien auf dem Computer des Opfers und fügt ihnen das Argument „load extension“ hinzu, das dafür sorgt, dass jede Verknüpfung zu Chrome gleichzeitig mit der bösartigen Erweiterung gestartet wird.

Die Hauptfunktionen dieses Vorgangs liegen darin, Cookies zu stehlen, die Kontrolle über Facebook-Konten zu erlangen und YouTube Videos in versteckten Frames zu laden und abzuspielen. Die Malware kontrolliert auch die Zwischenablage des Benutzers und überwacht die Tastenanschläge des Benutzers. Darüber hinaus kann die schädliche Load-Datei auch ein “Run-Skript” verwalten, das der Malware die Möglichkeit gibt, sich selbst zu ändern und neue Befehle hinzuzufügen, während sie ausgeführt wird. Sobald diese bösartige Load-Erweiterung in den Browser geladen ist, erhält sie die volle Kontrolle über jede Sitzung und kann alle HTML- und Java-Skripte ändern, was den Schaden, den sie anrichten kann, erhöht.

Infinity XDR hat die C&C-URL-Adresse blockiert und den bösartigen Prozess gestoppt. Die Plattform kann auch andere komplexe bösartige Verhaltensweisen erkennen und verhindern, wie z. B. die Änderungen der Chrome-Erweiterung in den LNK-Dateien. Infinity XDR wird voraussichtlich im Juni für eine frühe Verfügbarkeit zur Verfügung stehen, die allgemeine Veröffentlichung ist für das letzte Quartal 2022 geplant.