Zunächst fragt man sich natürlich, warum wohl seit zwei Monaten subtile Phishing-Angriffe speziell auf Entwickler von Erweiterungen zum Google-Browser Chrome laufen. Davon gibt es doch wohl kaum so viele, dass sich Angriffe auf diese Zielgruppe lohnen.

Betrug in zwei Schritten

Allerdings sind die Entwickler auch nicht wirklich das Endziel der aktuellen Durch-die-Brust-ins-Auge-Angriffe: Ziel der Phishing-Emails sind nämlich die Zugangsdaten der Google-Entwickler-Accounts. In diesen Emails steht dann, dass die Entwickler ihre Chrome-Erweiterung aktualisieren sollen.

Wenn nun ein Entwickler seine Login-Daten auf einer gut nachgemachten Phishing-Webseite eingibt, übernehmen die Betrüger sofort die Kontrolle über den Account und alle damit verknüpften Chrome-Erweiterungen.

Monetarisierung im letzten Akt

Abschließend infiltrieren die Kriminellen die so erbeuteten Chrome-Erweiterungen mit Schadcode, der zum Beispiel beim Surfen von Millionen Nutzern der verseuchten Erweiterungen dann unerwünschte Werbung einblendet, für die sich die Phisher bezahlen lassen. Inzwischen blockiert Google den Aufruf der bekannten Phishing-Webseiten.

Übernahmen dieser Art haben inzwischen schon mindestens zweimal funktioniert. Die Chrome-Erweiterungen Copyfish und Web Developer waren schon eine Zeit lang unter der Kontrolle der Phisher.

Screenshot: Bleeper