Gefälschte Bitwarden-Anzeigen auf Facebook pushen eine Chrome-Erweiterung, die Informationen stiehlt

Im Laufe des Jahres 2024 hat Bitdefender Labs eine Reihe von Malvertising-Kampagnen genau beobachtet, die beliebte Plattformen zur Verbreitung von Malware ausnutzen. Diese Kampagnen nutzen gefälschte Werbeanzeigen, um Benutzer zur Installation von Malware zu verleiten, die als legitime Anwendungen oder Updates getarnt sind.

Eine der jüngsten von Bitdefender Labs entdeckten Kampagnen betrifft eine gefälschte Bitwarden-Erweiterung, die auf Metas Social-Media-Plattform Facebook beworben wird. Die Kampagne verleitet die Benutzer dazu, eine schädliche Browsererweiterung unter dem Deckmantel eines Sicherheitsupdates zu installieren.

Die wichtigsten Erkenntnisse sind folgende:

• Ausnutzung der Plattform: Die Angreifer nutzen die Werbeplattform von Facebook aus, um Werbeanzeigen zu schalten, die legitim erscheinen, aber zu einer bösartigen Website führen.
• Identitätsdiebstahl von bekannten Marken: Die Kampagne gibt sich als Bitwarden, ein beliebter Passwortmanager, aus, um Vertrauen zu schaffen und ein Gefühl der Dringlichkeit zu erzeugen, indem die Nutzer zur Installation eines angeblichen „Sicherheitsupdates“ verleitet werden.
• Spezifische demografische Zielgruppe: Die Kampagne wird am 3. November 2024 gestartet und richtet sich speziell an Verbraucher zwischen 18 und 65 Jahren in Europa.
• Aktuelle Reichweite und Potenzial für eine globale Ausweitung: Die bösartigen Werbeanzeigen wurden bereits an Tausende von Nutzern verteilt und könnten sich noch weiter ausdehnen. Wenn nichts unternommen wird, könnte sich diese Kampagne global ausbreiten und Nutzer auf der ganzen Welt erreichen.
• Verwendung von Weiterleitungsketten: Nutzer, die auf diese Anzeigen klicken, werden auf verschiedene Websites weitergeleitet und landen schließlich auf einer Phishing-Seite, die den offiziellen Chrome Web Store nachahmt, um die bösartige Absicht der Anzeige zu verschleiern.
• Sammeln von Daten aus geschäftlichen und privaten Konten : Die Malware sammelt persönliche Daten und zielt auf Facebook-Geschäftskonten ab, was zu finanziellen Verlusten für Privatpersonen und Unternehmen führen kann.

Wieder einmal zeigt diese Kampagne, wie Bedrohungsakteure vertrauenswürdige Plattformen wie Facebook ausnutzen, um die Nutzer dazu zu bringen, ihre eigene Sicherheit zu kompromittieren. Indem sie sich als vertrauenswürdiges Tool ausgeben und Benachrichtigungen über dringende Updates nachahmen, verschaffen sich Cyberkriminelle Zugang zu wertvollen persönlichen und geschäftlichen Informationen.

Dank der Forschung von Bitdefender Labs verstehen wir besser, wie sich die Taktiken bei dieser Art von Angriffen entwickeln:

Erster Schritt: Falsche Werbeanzeigen, um die Nutzer zu locken.

Der Angriff beginnt mit einer irreführenden Facebook-Werbung, die die Nutzer warnt, dass ihre Passwörter in Gefahr sind, und sie dazu auffordert, ihre Bitwarden-Browsererweiterung zu aktualisieren. Die Anzeige sieht legitim aus, verwendet die Marke Bitwarden und eine dringliche Sprache wie „Achtung, Ihre Passwörter sind in Gefahr! Ihre Passwörter sind in Gefahr“, um die Nutzer zum Handeln aufzufordern.

Wenn die Nutzer auf die Werbung klicken, gelangen sie auf eine gefälschte Webseite, die den offiziellen Chrome Web Store nachahmen soll. Wenn die Nutzer auf „Zu Chrome hinzufügen“ klicken, werden sie zu einem Google Drive-Link weitergeleitet, der eine Zip-Datei mit der bösartigen Erweiterung enthält. Die Angreifer führen die Nutzer durch den Installationsprozess der Erweiterung :

• Datei entpacken
• Auf die Erweiterungseinstellungen ihres Browsers über chrome://extensions zugreifen.
• Den Entwicklermodus aktivieren
• Die entpackte Erweiterung manuell laden (Sideloading).
  

Mit dieser Methode werden die Nutzer manipuliert, damit sie die Sicherheitskontrollen des Browsers umgehen, sodass sich die Malware unerkannt installieren kann.

Details der bösartigen Erweiterung : Voller Zugriff und verdächtige Berechtigungen

Nach der Installation fordert die bösartige Erweiterung umfassende Berechtigungen an, die es ihr ermöglichen, die Online-Aktivitäten des Benutzers abzufangen und zu manipulieren. Eine genauere Untersuchung der Manifestdatei der Erweiterung zeigt Berechtigungen, die es ermöglichen, auf allen Webseiten zu operieren, Netzwerkanfragen zu ändern und auf Speicher und Cookies zuzugreifen.

Das Skript service-worker-loader.js der Erweiterung startet background.js, die Hauptkomponente, die für die bösartigen Operationen verantwortlich ist. Außerdem wird popup.js - ein verschleiertes Skript - geladen, wenn die Nutzer in ihrem Browser auf das Symbol der Erweiterung klicken, wodurch es :

• auf die Cookies von https://facebook.com zuzugreifen und insbesondere nach dem Cookie c_user zu suchen, das die Facebook-Nutzer-ID enthält.
• die DOM-Elemente der Seite zu manipulieren, um falsche Lademeldungen anzuzeigen und so die Illusion legitimer Aktionen zu erzeugen.

Arbeit im Hintergrund: Sammeln und Exfiltration von Daten.

Das Skript background.js, das bei der Installation aktiviert wird, ist das Herzstück dieses Angriffs.

chrome.runtime.onInstalled.addListener(async details => {

    getFacebookCookies();

});

Er funktioniert folgendermaßen:

Sammeln von Cookies: Bei der Installation ruft background.js getFacebookCookies() auf, um zu überprüfen, ob Facebook-Cookies vorhanden sind. Wenn es welche findet, sammelt es weitere Daten mithilfe der Funktion collectData().

Sammeln von IP- und Geolokalisierungsdaten: Die Erweiterung fragt IP- und Geolokalisierungsdaten über https://api.ipify.org und https://freeipapi.com ab.

Abrufen von Daten aus Facebook: Über die Graph-API von Facebook ruft die Malware Daten des Nutzers ab, darunter :

• Persönliche Daten wie die Benutzerkennung und den Namen des Benutzers.
• Informationen zu Firmen- und Werbekonten
• Kreditkarten- und Abrechnungsinformationen, die mit Werbekonten verknüpft sind.
  

Sobald die Daten gesammelt wurden, werden sie an eine Google-Script-URL gesendet, die für die Angreifer als Command-and-Control-Server (C2) fungiert. Die Funktion sendData() steuert die Datenexfiltration, indem sie die sensiblen Informationen verschlüsselt und weiterleitet.

Strategien zur Erkennung und Abwehr

Die Erkennung und Abschwächung dieses Angriffs stellt eine Herausforderung für Cybersicherheitsteams dar, da er sich auf legitime Plattformen wie Facebook und Google Drive stützt. Hier sind einige Ideen zur Erkennung für Sicherheitsexperten:

Auf verdächtige Berechtigungen achten: Die deklarativen BerechtigungenNetRequest und webRequest sind in Verbindung mit dem Zugriff auf Cookies starke Indikatoren für potenzielle Malware.
Verhaltenssignaturen: Verschleierte Funktionen wie chrome.runtime.onInstalled.addListener und Aufrufe der graph.facebook.com-APIs können als Indikatoren für eine Kompromittierung (IoC) dienen.

Sicherheitstipps für Nutzer

Um sich vor ähnlichen Malvertising-Kampagnen zu schützen, sollten Sie diese grundlegenden Sicherheitstipps befolgen:

• Überprüfen Sie Erweiterungen auf Updates: Aktualisieren Sie Erweiterungen immer direkt über die offiziellen Stores des Browsers (z. B. Chrome Web Store) und nicht über Werbeanzeigen oder Links von Drittanbietern.
• Untersuchen Sie Werbeanzeigen und Links: Hüten Sie sich vor gesponserten Anzeigen in sozialen Medien, insbesondere vor Anzeigen, die zu sofortigen Maßnahmen oder Aktualisierungen von Sicherheitstools auffordern.
• Überprüfen Sie die Berechtigungen von Erweiterungen: Bevor Sie eine Erweiterung installieren oder aktualisieren, überprüfen Sie ihre Berechtigungen. Erweiterungen, die Zugriff auf Cookies, Netzwerkanfragen oder alle Daten auf der Website verlangen, können bösartig sein.
• Aktivieren Sie Sicherheitsfunktionen: Verwenden Sie die Sicherheitseinstellungen des Browsers, z. B. indem Sie den Entwicklermodus deaktivieren, wenn er nicht verwendet wird, um das unerlaubte seitliche Laden von Erweiterungen zu verhindern.
• Melden Sie verdächtige Werbung: Wenn Sie auf irreführende oder bösartige Werbung in sozialen Medien stoßen, melden Sie sie der Plattform, um die Verbreitung ähnlicher Angriffe zu verhindern.
• Verwenden Sie eine Sicherheitslösung: Schützen Sie sich vor schädlichen Werbeanzeigen und Phishing-Angriffen, indem Sie eine zuverlässige Sicherheitslösung wie Bitdefender Total Security verwenden. Eine umfassende Sicherheitslösung erkennt und blockiert bösartige Links, Phishing-Versuche und nicht autorisierte Browsererweiterungen und fügt so eine zusätzliche Schutzebene hinzu.
  

Verwenden Sie Bitdefender Scamio, um Betrügereien und bösartige Werbung zu vermeiden.

Bitdefender Scamio ist ein unentbehrlicher Scam-Erkenner für Internetnutzer, die beim Surfen oder Interagieren in ihren sozialen Netzwerken Betrügereien und bösartige Werbung vermeiden wollen. Scamio ist unser KOSTENLOSER On-Demand-Betrugserkenner, den Sie verwenden können, um jeden betrügerischen Link oder Vorschlag zu überprüfen, den Sie online sehen.

Scamio kann jeden Text, jede Nachricht, jeden Link, jeden QR-Code oder jedes Bild analysieren und Ihnen sagen, ob es sich um einen Betrug handelt. Scamio ist für Facebook Messenger, WhatsApp, Ihren Webbrowser und Discord verfügbar.

Mal sehen, was Scamio von dieser Werbung hält :

Mit der Einführung unseres neuen Scam Copilot erhalten Sie außerdem einen umfassenden Schutz vor Betrügereien auf all Ihren Geräten. Dazu gehören u. a. der Zugang zu Ihrem persönlichen Betrugsberater, Warnungen vor Betrugswellen in Ihrer Region, Echtzeiterkennung von Betrügereien in Ihren Surfaktivitäten und Schutz vor Fernzugriffsbetrug. Die Funktionen von Scam Copilot in Verbindung mit unserem preisgekrönten Anti-Malware-Schutz sind in unseren All-in-One-Sicherheitslösungen verfügbar.