VERANSTALTUNGEN

DAHO.AM
24.07.18 - 24.07.18
In München

IT-Sourcing 2018
03.09.18 - 04.09.18
In Hamburg

2. Jahrestagung Cyber Security Berlin
11.09.18 - 12.09.18
In Berlin

DILK 2018
17.09.18 - 19.09.18
In Düsseldorf

it-sa 2018
09.10.18 - 11.10.18
In Nürnberg

Google Chrome

Quelle: Evan Lorne / Shutterstock.com

Forscher von Radware haben eine neue Malware-Kampagne entdeckt, die Social Engineering nutzt, um sich via manipulierter Chrome Extensions schnell über Facebook zu verbreiten. Die Malware infiziert die Systeme der Opfer, um ihre Social-Media-Anmeldeinformationen zu stehlen und Kryptomining-Code herunterzuladen. Sie ist seit mindestens März 2018 aktiv und hat bereits mehr als 100.000 Anwender weltweit infiziert.

Die Kampagnenbetreiber erstellten Kopien legitimer Chrome-Erweiterungen und injizierten ein kurzes, verschleiertes bösartiges Skript, um die Malware-Operation zu starten. Die Verschleierung erfolgt dabei vor allem, um die Überprüfung der Erweiterung durch Google zu umgehen. Insgesamt nutzen die Angreifer sieben verschiedene Erweiterungen; der größte Anteil entfällt dabei auf "Nigelify". Diese legitime Chrome-App ersetzt Bilder durch das Gesicht der Cartoon-Figur Nigel Thornberry. In Anlehnung an diese Erweiterung bezeichnet Radware die neue Malware als Nigelthorn. Weitere genutzte Erweiterungen sind etwa PwnerLike und iHabno. Zumindest vier der sieben missbrauchten Extensions wurden bereits von Google entdeckt und blockiert.

Die Angriffskette beginnt damit, dass ein Opfer auf einen bösartigen Link klickt, der über Facebook gesendet wird. Der Link leitet die Opfer auf eine gefälschte YouTube-Seite um und fordert den Benutzer auf, eine Chrome-Erweiterung zum Abspielen des Videos zu installieren. Tut er dies, wird eine der sieben bösartigen Erweiterungen - meist Nigelify - die Malware auf seinem System installieren. Einmal ausgeführt, lädt das bösartige JavaScript eine erste Konfiguration vom Server des Angreifers herunter - einschließlich einer Reihe von Plugins für Facebook-Propagation zur weiteren Verbreitung an Kontakte des Opfers, Kryptomining-Code für Monero, Bytecoin und Electroneum sowie für YouTube-Klickbetrug. Schließlich versucht Nigelthorn noch, die Facebook- oder Instagram-Anmeldeinformationen des Opfers zu stehlen.

Details zu Nigelthorn und seiner Funktionsweise finden Sie im Radware Blog unter: https://blog.radware.com/security/2018/05/nigelthorn-malware-abuses-chrome-extensions/
 

GRID LIST
Tb W190 H80 Crop Int 751dca2cb9d65f351bdcfe588285b665

it-sa 2018 mit deutlich mehr Ausstellungsfläche

Auf der diesjährigen it-sa präsentieren die beteiligten Unternehmen ihre…
Tb W190 H80 Crop Int Fb1d1e93d44faa704f50e39d35400653

Compuware erwirbt XaTester und geht Partnerschaft mit Parasoft ein

Compuware gab eine Produktübernahme, Verbesserungen für Topaz for Total Test und eine…
Tb W190 H80 Crop Int A21a82950cfbb0ceb8ec8d33e38bb870

Clavister tritt der Allianz für Cyber-Sicherheit bei

Deutschland wird zunehmend zum Ziel internationaler Hackerangriffe. Um den…
KI

Sattelberger kommentiert KI-Strategie der Bundesregierung

Die gestern veröffentlichten "Eckpunkte der Bundesregierung für eine Strategie Künstliche…
Passwort

Amazon und Co versagen beim Passwortschutz

Führende Internetseiten wie Amazon und Wikipedia versagen, wenn es darum geht, ihre…
Cyber Attack

Unternehmen müssen Cyber-Attacken hinnehmen

Obwohl 95 Prozent aller CIOs davon überzeugt sind, dass Cyber-Angriffe zunehmen, haben…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security