Ein Sicherheitsforscher mit dem Pseudonym SwiftOnSecurity hat im offiziellen Chrome Web Store eine bösartige Erweiterung entdeckt, die sowohl den Namen als auch das Icon des Werbeblockers Adblock Plus verwendete. Hinter der Tarnung verbarg sich jedoch eine Adware, die selbständig Tabs mit Werbung öffnete. In der Nacht zum heutigen Dienstag wurde die Erweiterung aus dem Store entfernt. Wie ein von SwiftOnSecurity veröffentlichter Screenshot belegt, wurde sie zuvor jedoch von mehr als 37.000 Chrome-Nutzern installiert.

Ein Nutzer beschreibt die Adware-Funktion der bösartigen Extension. (Bild: Twitter / SwiftOnSecurity)

Ob die Erweiterung außer dem Einblenden von Werbung noch weitere Schadfunktionen enthielt, ist derzeit noch unklar. Eine Neuinstallation der Erweiterung Adblock Plus stellt sicher, dass sich tatsächlich die legitime Extension auf dem Rechner befindet.

Keyword-Sammlung enttarnte den Schadcode



Wie SwiftOnSecuritys Screenshot belegt, enttarnte sich die gefälschte Erweiterung selbst – und zwar durch Unmengen generisch wirkender Keywords in der Beschreibung im Store. Diese hatten mit dem Einsatzzweck von Adblock Plus nichts zu tun, stellten aufgrund ihrer Beliebtheit jedoch sicher, dass die Extension bei verschiedensten Suchanfragen gefunden wurde.

Catalin Cimpanu, Security-Blogger bei Bleepingcomputer, wies via Twitter auch auf die vom Original abweichende Extension-ID hin, die als Bestandteil der URL im Browser auftaucht. Sie lautet bei der echten AdBlock-Plus-Extension cfhdojbkjhnklbpkdaibdccddilifddb – und bestand bei der Fälschung aus einer stilisierten Unicode-Darstellung des Begriffs "Adblock Plus".

Weitere gefälschte Extensions im Umlauf

Offensichtlich existieren auch von der Adblock-Plus-Alternative ublock mehrere Kopien im Chrome Web Store. Unter anderem wies uns ein Leser auf eine Extension namens ublock Plus (Extension-ID kjagjnchnnlgiafjjlahaedeagnmhefi) hin. Sie fällt durch fast ausschließlich schlechte Bewertungen auf, in denen unerwünschte Werbeeinblendungen beschrieben werden – und sie wurde fast 4 Millionen Mal heruntergeladen. (Nicht nur) beim Download von Werbeblocker-Extensions aus dem Chrome Web Store ist also weiterhin Vorsicht geboten.

[UPDATE 11.10.2017 10:54 Uhr]: Die Meldung wurde um einen Leserhinweis ergänzt. (ovw)