-Mimikama unterstützen -

Gemeinsam gegen Fakes, Fake-News und anderen Unwahrheiten im Internet. Bitte hilf mit!

Seit Tagen bekommen wir immer wieder Anfragen zu diversen Artikel, die am 5.10.2016 veröffentlicht wurden. In diesen Artikeln heißt es, dass ein neuer Virus die Runde auf Facebook macht. Herausgefunden hat dies angeblich die französische Regierung.

-Produktempfehlung: Kaspersky lab-

image

In diesen Artikeln steht u.a.

Nutzer des Facebook Messenger sollten derzeit besonders vorsichtig sein. Das französische Innenministerium warnt vor einem bösartigen Virus, das mit Hilfe vertrauenerweckender Links eine Schadsoftware auf Smartphones und Computer einschleusen kann. Facebook bestätigte das Problem, betonte aber, nur ein sehr kleiner Anteil der Nutzer sei betroffen.

Stimmt das?

JA. Als erstes hat bereits am 1.10.2016 die Morgenpost.de darüber berichtet und hat dazu einen allgemeinen Bericht dazu veröffentlicht.

Wir selbst haben ebenfalls am 1.10.2016 darüber auf Facebook berichtet und haben unsere User um Unterstützung gebeten, da wir zwar diverse Screenshots erhielten, aber den Trojaner / den Schädling selbst nicht prüfen konnten, da es noch keine Links / Verweise gegeben hat.

Am 2.10.2016 wussten wir nach eingehenden Prüfungen, dass es sich um eine SCHÄDLICHE GOOGLE-CHORME-BROWSERERWEITERUNG handelt und konnten somit eine Lösung anbieten. Diesen haben wir schlussendlich am 3.10.2016 hier veröffentlicht.

Am 5.10.2016 wurde dann über die DPA (Deutsche Presse-Agentur) an alle Medien eine Pressemeldung versendet in der vor dem neuen Schädling gewarnt wurde. Diese Pressemeldung wurde am 5.10.2016 nun von etlichen Medien aufgenommen und veröffentlicht. Dies ist auch der Grund, warum so viele Medien den selben Inhalt veröffentlicht haben.

Im Detail. Unsere Analyse vom 3.10.2016

Folgendes Szenario Du wirst von einem Freund angeschrieben. Die Mitteilung enthält keinerlei weiteren Inhalt, sondern lediglich Dein Profilbild ist zu sehen, Dein Name steht daneben und das Wort “Video”.

image

Dieses Profilbild ist mit einem Link hinterlegt. Diesen Link, sowie den darauf folgenden Ablauf konnten wir nun durchspielen.

Gefälschte YouTube Seite

Zunächst landet man auf einer Webseite, welche YouTube nachempfunden ist. Doch Vorsicht: das ist NICHT YouTube! Der Besucher, der hier das entsprechende Video erwartet, soll in eine Falle geführt werden: da man ja erwartet, hier würde ein (skandalöses)Video über die eigene Person zu sehen sein, klicken viele Menschen auf den Play-Button.

image

Doch hier startet kein Video, hier liegt auch gar kein Video (um die schockierten Nutzer zu beruhigen). Stattdessen öffnet sich, sofern man Chrome oder einen auf Chrome basierenden Browser nutzt, ein Dialogfenster, welches dazu auffordert, eine Browsererweiterung zu installieren.

image

Diese Browsererweiterung hat es in sich, so fordert diese folgende Berechtigung ein: “Alle ihre Daten auf von ihnen besuchten Websites lesen und ändern”. Das ist natürlich ein Art Freibrief für die Browsererweiterung. Google selbst warnt vor Browsererweiterungen (Apps), die eine solche Berechtigung fordern [1]:

Berechtigungsstufen erkennen

Nachfolgend sehen Sie die Berechtigungen, die von Apps und Erweiterungen angefordert werden können, sowie deren potenzielle Risikostufen.

Hohe Warnstufe

 

Wenn die Berechtigung Zugriff auf alle Daten auf Ihrem Computer und den von Ihnen besuchten Websitesanfordert, kann die Browsererweiterung (App) oder Erweiterung auf nahezu alles innerhalb und außerhalb Ihres Browsers zugreifen, darunter die Webcam und private Dateien.

Undurchsichtige App

Schaut man sich nun die Detailseite dieser Browsererweiterung an, merkt man schnell, dass diese mit hoher Vorsicht zu genießen ist.

image

Es liegen keine Bewertungen, keine Beschreibungen und auch keinerlei verständliche Angaben vor. Wir schätzen auch, dass sobald diese App aus dem Chrome Webstore entfernt wird, eine gleichartige Browsererweiterung in den Webstore gemogelt wird und somit das Spiel weitergeht.

 

Vorsicht daher!

  • Niemals unnötige Browsererweiterungen installieren
  • YouTube Videos benötigen keine Browsererweiterung
  • immer die Berechtigungen einer Browsererweiterung durchlesen und verstehen

Wir gehen davon aus, dass die Profile, welche die privaten Nachrichten versenden, bereits diese Browsererweiterung installiert haben und es letztendlich diese Erweiterung ist, welche Einfluss auf die jeweiligen Profile nimmt und diese Nachrichten versendet.

Bitte kontrolliert daher in einem solchen Falle Eure Browsererweiterungen (chrome://extensions/)und deinstalliert alles, was Ihr nicht kennt und nicht benötigt!