Warnung vor gefährlichen Chrome-Erweiterungen

Laut einem Blogeitrag von Kaspersky Lab versteckt sich hinter einer Facebook-Nachricht ein ziemlich aggressiver Trojaner, dessen Ursprung in Brasilien ausgemacht werden konnte. Auch die Infektionen betreffen zurzeit vor allem brasilianischen Nutzer. Die Methode der Verbreitung basiert zwar auf altbekannten Techniken, sie ist aber so trickreich, dass in Zukunft auch andere Trojaner sie nutzen könnten.

Das Opfer wird zuerst mit einer Facebook-Seite gelockt, die zusätzliche Funktionen für Facebook verspricht, beispielsweise Farbänderungen für das Profil, Besucherstatistiken oder einen Virenscan im Facebook-Profil. Wenn der Nutzer der Installationsanleitung folgt, installiert er eine Chrome-Erweiterung.

Im von Kaspersky beobachteten Fall führte der Link in den offiziellen Google Chrome Web Store und präsentierte dem Nutzer den Adobe Flash Player zum Download. Den enthaltenen Trojaner hat Kaspersky Trojan.JS.Agent.bxo getauft. Spätestens hier hätte ein aufmerksamer Benutzer gewarnt sein müssen. Denn der Flash Player ist bereits in Google Chrome integriert und muss nicht extra heruntergeladen werden. Wer die Erweiterung trotzdem installiert, befördert damit die Schadsoftware auf seinen PC. Diese sendet dann Nachrichten über das Facebook-Profil, um weitere Nutzer zur Installation der Erweiterung aufzufordern. Die eigentliche Absicht der Erweiterung ist jedoch, über die „Gefällt mir“-Funktion von Facebook, Seiten im Profil unterzubringen. Dafür lassen sich die Kriminellen von Firmen bezahlen, die sich davon mehr Reichweite oder Fans für ihr eigenes Facebook-Profil erwarten.

Auch wenn Google gefährliche Erweiterungen normalerweise äußerst schnell aus dem Chrome Web Store entfernt, hinkt der Konzern den Online-Kriminellen immer einen Schritt hinterher. Von daher rät Kaspersky grundsätzlich zur Vorsicht bei der Nutzung von Facebook und der Installation von Erweiterungen.