1614290

Forscher entwickelt Malware als Browser-Erweiterung

26.10.2012 | 10:33 Uhr |

Ein ungarischer Sicherheitsforscher hat angekündigt, er werde demnächst eine Browser-Erweiterung veröffentlichen, die faktisch ein Trojanisches Pferd darstellt. Der Demo-Schädling enthält viele Funktionen, die typisch für heutige Malware sind.

Der Sicherheitsberater Zoltan Balazs , der für die Unternehmensberatung Deloitte in Ungarn arbeitet, möchte die Aufmerksamkeit auf das Missbrauchspotenzial lenken, das in Browser-Erweiterungen (Add-ons) steckt. Er hat dazu ein Add-on entwickelt, das die Möglichkeiten demonstriert. Den Quelltext der Erweiterungen will Balazs in der kommenden Woche veröffentlichen, wenn er sie auf der Sicherheitskonferenz "Hacker Halted" in Miami, Florida, vorstellt.

Balazs Browser-Erweiterung kann Web-Seiten manipulieren, bevor sie der Browser anzeigt, Dateien herunterladen und ausführen, Benutzerkonten für Online-Dienste kapern, Sicherheitsmechanismen bei der Anmeldung umgehen, ausspionierte Daten übertragen und vieles mehr. Sie kann über das Web ferngesteuert werden, ohne dass dies groß auffiele. Die Anweisungen sowie die durch das Add-on übermittelten Daten stecken im HTTP-Datenverkehr, den Browser nun mal generieren.

Die Demo-Erweiterung gibt es in Versionen für Firefox, Chrome und Safari, eine Fassung für den Internet Explorer wäre ebenfalls machbar. Die Firefox-Variante funktioniert auch unter Android, wenn auch mit verringerten Möglichkeiten. Dafür kann sie im Mobil-Browser den Standort des Benutzers ermitteln und die Koordinaten an einen Server übertragen. Die Chrome-Version ist noch nicht soweit entwickelt. Sie lässt sich recht einfach in eine Safari-Erweiterung konvertieren.

Die Chrome-Erweiterung kann allerdings von dem so genannten Native Client im Google-Browser profitieren, der es ermöglicht in C oder C++ geschriebene Web-Anwendungen in einer Sandbox auszuführen. Ein Kollege Balazs' hat dafür einen Passwortknacker geschrieben, der als verteilte Anwendung in einem Bot-Netz Passwort-Hashes verarbeitet, um daraus die Klartextpasswörter zu erhalten.

Zoltan Balazs fordert die Antivirushersteller dazu auf, dieser Malware-Gattung mehr Aufmerksamkeit zu widmen. Bereits existierende Malware dieser Art werde bislang kaum durch Antivirusprogramme erkannt. An den Firefox-Hersteller Mozilla geht die Empfehlung das Installieren neuer Add-ons nur aus dem offiziellen Marktplatz für Erweiterungen (AMO - addons.mozilla.org ) zu gestatten, wie dies bei Chrome bereits der Fall sei.

0 Kommentare zu diesem Artikel
1614290