Eine bösartige Erweiterung für den Google Chrome Browser hat ein zweites Leben eingehaucht bekommen. Erstmals aufgetaucht im August 2017, verbreitete sie sich zunehmend, indem sie abhängig vom Browser des Nutzers auf eine andere Seite weiterleitete und dann einen vermeintlichen Download anbot, welcher den Computer dann infizierte.

Diese Malware feiert nun ein kleines Comback. So sind die Fälle seit dem 8. April wieder angestiegen, diesmal jedoch mit einem anderen vorgehen, wie TrendMicro berichtet.

Die Malware verbreitet sich derzeit weiterhin per Facebook Messenger, welches ihm den Namen FacexWorm einbrachte. Allerdings hat sich nun die Zielgruppe geändert, denn es werden nun vor allem Nutzer von Kryptowährungen angezielt.

Ist der Nutzer einmal auf die Nachricht eines Freundes im Messenger reingefallen und lädt die verbundene Software herunter, lädt diese im Hintergrund direkt weitere nach. Dafür funkt die Malware zu ihrem C&C-Server (Command & Control), also seiner zentralen Anlaufstelle. Nach jedem Seitenbesuch wird die Verbindung zu dieser gecheckt und lädt weitere schädliche Software nach.

Diese macht folgendes:

  • User-Logins von Google, MyMonero und Coinhive werden abgegriffen.
  • Bei ansurfen von 52 vordefinierten Internetseiten wird der Nutzer an eine Scamseite weitergeleitet.
  • Im Hintergrund wird mit 20% Leistung des eigenen CPU-Kern gemint
  • Ziel-Adressen für Zahlungen auf bestimmten Seiten, wie z.B. Poloniex, Bitfinex, Ethfinex, Binance etc. werden ersetzt.
  • Über Affiliate-Links wird der Nutzer auf Krypto-Seiten mit Provisionsprogrammen weitergeleitet.
  • Der Tab des Nutzers, die ihre Verwaltungsseite für ihre Erweiterungen öffnen, wird automatisch geschlossen. Dies soll für ein längeres Überleben der Malware sorgen.

Die bisher identifizierten Adressen erhielten zwar keine signifikanten Summen, es ist jedoch nicht geklärt, ob dies daran liegt, dass die Erweiterung keine Adressen wiederverwendet oder der Kreis der Geschädigten tatsächlich bisher überschaubar ist.

TrendMicro berichtete, dass Chrome viele der FacexWorm-Erweiterungen vor der Entdeckung entfernt hat und dass Facebook Messenger auch in der Lage ist, die von der Malware verwendeten heimtückischen Links zu erkennen und zu blockieren.

[Bild: Yuttanas/ Shutterstock.com]
Constantin Vennekel avatar
Autor
Constantin interessierte sich Ende 2010 bereits früh für Kryptowährungen und verfolgte als einer der ersten einen Master (MSc) in Digitalen Währungen, um sich auf verwandte Bereiche wie Disruptive Innovation, Blockchain Technology and Applications, Open Financial Systems, Money and Banking zu konzentrieren. Bevor er zu KI kam, arbeitete er als Entwickler im Bereich Bitcoin Wallet und Ethereum Energy.