BEDROHUNG
Die ursprünglich legitime Chrome-Erweiterung „QuickLens – Search Screen with Google Lens" wurde nach einem Besitzerwechsel mit ClickFix-Mechaniken und Infostealer-Funktionen versehen.
Nachdem die Erweiterung über den Marktplatz „ExtensionHub" verkauft wurde, forderte ein Update auf Version 5.8 zusätzliche Browserberechtigungen an. Laut einer Analyse von Annex entfernte die neue Version Sicherheitsheader, die die Ausführung bösartiger Skripte erschweren. Bei jedem Seitenaufruf wurden verschiedene Payloads von einem C2-Server nachgeladen.
Unter anderem zeigte die Erweiterung eine gefälschte Google-Update-Aufforderung an. Bestätigte der Nutzer diese, erschien ein klassischer ClickFix-Prompt. Führte der Nutzer den angezeigten Befehl aus, wurde bösartiger JavaScript-Code heruntergeladen. Ziel der Kampagne war dem Bericht zufolge der Diebstahl von Wallet-, Anmelde- und Zahlungsdaten.
Google hat die Erweiterung mittlerweile aus dem Chrome Web Store entfernt; sie wird automatisch deaktiviert, sofern sie installiert war.
Was jetzt zu tun ist:
• Verifizieren, dass die Erweiterung tatsächlich entfernt wurde, und das Gerät auf Malware scannen.
• Im Browser gespeicherte Passwörter ändern und Kryptowährungen gegebenenfalls auf eine neue Wallet transferieren.
Prävention & Detection
Ein leistungsstarkes SIEM, wie IBM QRadar, Splunk oder Microsoft Sentinel bündelt sicherheitsrelevante Ereignisse aus allen Systemen, korreliert diese intelligent und liefert präzise Alarme. So erhalten Security-Teams die Grundlage für schnelle Entscheidungen, klare Prioritäten und effektive Incident Response. EDR-Lösungen, wie Sentinel One, analysieren das Verhalten von Endpoints in Echtzeit.
Autor: Michael Niers
