Diese Chrome-Erweiterung klingt praktisch – sie sollte dich aber ausspionieren
Die IT-Sicherheitsexperten von Cybernews warnen vor der Chrome-Erweiterung SpiderX Wallet. Die Erweiterung spioniert Nutzer aus und sammelt dabei Login-Daten und Bildschirmfotos. Um die Erweiterung zu verbreiten, setzen die Kriminellen zunächst auf Spam-Mails.
Insgesamt 52.000 E-Mails wurden laut Cybernews innerhalb weniger Tage verschickt. Dabei zielten die Kriminellen auf Personen, die bereits im Vorfeld Opfer von Krypto-Scams waren.
Die E-Mail wurde im Deckmantel verschiedener Unternehmen oder Institutionen geschrieben, die auf die Wiederbeschaffung von Kryptowährung spezialisiert sind. Als Beispiele nennt Cybernews claimyourrefund[.]net, fca-recovery[.]org, spiderx[.]co.
„Die Spam-Nachrichten behaupten, dass sie Ihnen helfen können, gestohlene oder verlorene Krypto-Vermögenswerte wiederzuerlangen oder eingefrorene Konten im Zusammenhang mit nicht registrierten Krypto-Handelsdiensten freizugeben“, schreibt Cybernews.
Anschließend wurde den Opfern gleich die passende Lösung präsentiert: die Installation einer Chrome-Erweiterung namens SpiderX Wallet. Die wiederum nahm dann ungefragt Bildschirmfotos auf, sammelte Login-Daten und übermittelte den gesamten Browserverlauf an die Betrüger.
Erweiterung schlüpft durch Malware-Schutz
Laut Cybernews soll die SpiderX-Erweiterung nach eigener Beschreibung Daten und Browserhistorie verarbeiten, um schädlichen Code zu entdecken. Besonders perfide: Dabei umging sie scheinbar Anti-Malware-Programme und rutschte auch durch die Sicherheitsbarriere des Chrome Web Stores.
„Interessanterweise hat keiner der auf VirusTotal verfügbaren Anbieter von Malware-Erkennungsprogrammen die Erweiterung als bösartig erkannt, obwohl bei der statischen Code-Analyse klar war, dass die Anwendung Informationen von Websites sammelt und an einen Remote-Server sendet. Die gesamte Logik und die verwendeten Methoden waren nicht verschleiert“, so die Cybernews-Forscher.
Doch nicht nur die Methoden waren nicht verschleiert. Der Betrüger war auch generell nicht besonders geschickt, seine Spuren zu verwischen: „Es scheint, dass der Betrüger vor dem Start der Kampagne die Infrastruktur unter Verwendung seiner E-Mail, IP-Adresse und anderer persönlicher Daten eingerichtet und getestet hat“, so die Cybernews-Experten. „Diese Daten führen zu einer Person in Israel.“
Aktueller Stand
Die Erweiterung wurde mittlerweile aus dem Chrome Web Store entfernt. Diese Betrugs-Erweiterung ist aber sicherlich kein Einzelfall. Je nach Professionalität des Betrugs ist es für Laien kaum möglich, gefälschte E-Mails herauszufiltern. Was ihr aber dennoch machen könnt:
- Klickt auf keine Links in E-Mails, die es „besonders eilig“ haben
- Folgt keinen Aufforderungen via E-Mail, Erweiterungen oder sonstige Programme zu installieren
- Schreibfehler, falsche Kontaktdaten oder Fehler in Firmenlogos können erste Indizien einer Fake-E-Mail sein
- Versichert euch im Zweifelsfall telefonisch (mit der Nummer der offiziellen Webseite), ob euch die betreffende Firma wirklich eine E-Mail gesendet hat.
Redakteurin Ulrike Barth hat außerdem ein paar Tipps, was du über Betrugsmaschen im Zahlungsverkehr wissen musst.