-Produktempfehlung: Kaspersky lab-

Ganz aktuell hat uns die Warnung vor einem auf Facebook geteilten Video Fake erreicht. Im türkischen Begleittext zum vermeintlichen Video Link wird (wenn wir richtig übersetzt haben) mitgeteilt, dass man sich hier ein Video von getöteten PKK Terroristen anschauen kann. Öffnet man den Link, wird man auf eine externe Seite umgeleitet. Hier sieht man dann ein für solche Video Fakes schon als typisch zu bezeichnendes Vorschaubild, das einen Player nachahmt. Außerdem noch Werbung für den Flash Player 10.1.

So in etwa schaut der entsprechende Post aus:

image

Öffnet man den Link, wird man auf eine externe Seite umgeleitet.
Hier sieht man dann ein für solche Video Fakes schon als typisch zu bezeichnendes Vorschaubild, das einen Player nachahmt.
Außerdem noch Werbung für den Flash Player 10.1.

image

Wird nun das vermeintliche Video angeklickt, startet ein im Quelltext der Seite verstecktes Script. Dieses Script ahmt eine Meldung vom Browser nach und bittet auf Türkisch darum, dass man den Flash Player installiert bzw. updatet. Durch ein eingebautes Google Web Store Logo soll zusätzlich noch Vertrauen aufgebaut werden.

Hier sieht man zwei Fenster. Das kleinere wird anhand eines versteckten Scripts eingeblendet und kommt trotz Logo NICHT von Google. Das größere mit dem gelben Rahmen hingegen kommt wirklich vom Browser und zeigt, was die Erweiterung die dort installiert werden soll, kann und darf.

image

Klickt man im unteren Fenster auf „Hinzufügen“, wird der Google Web Store aufgerufen und die entsprechende Erweiterung angezeigt. Ein weiterer Klick in diesem Fenster auf „Hinzufügen“ installiert die Browsererweiterung.

image

Die fertig installierte Erweiterung im Browser:

image

Einem erfahrenen Nutzer sollte hier auffallen, dass die Erweiterung den Namen „Flash Player 4.5“ trägt, aber selbst die Versionsnummer „5.3“ hat. Auf jeden Fall nochmals ein guter Hinweis, wenn man nicht vorher schon stutzig geworden ist.

In dem Moment, in dem die Installation der Erweiterung abgeschlossen wird, lädt der Browser automatisch zwei neue Tabs.
Einmal die aktuelle Facebook Sitzung und einmal Google.

Unbemerkt vom Nutzer wurde im selben Moment das Ursprungsposting mit einem türkischen Standardtext (in etwa: Dieses Video unbedingt ansehen) kommentiert und geteilt. Eventuell werden noch Likes vorgenommen, dies konnten wir unter unseren Testbedingungen aber nicht nachvollziehen.

image

Die nähere Analyse der Erweiterung zeigt, dass sie auch Kontakt zu einem weiteren Sever und zu unterschiedlichen Google Diensten aufbaut. Was genau dort aber noch an Aktionen durchgeführt werden, konnten wir bisher nicht genau feststellen.

Wieder einmal:

Vorsicht bei Browsererweiterungen aus unbekannten Quellen.
Jede Browsererweiterung kann sehen, was ihr in eurem Browser seht.
Jeder Browsererweiterung kann Aktionen in eurem Namen durchführen.

-Mimikama unterstützen-