Firefox-Add-on reiht Rechner in Botnet ein

Das inzwischen aus dem Add-ons-Manager von Firefox entfernte Add-on „Microsoft .Net Framework Assistant“ hat seit mindestens Mai 2013 rund 12.500 Windows-Rechner in einem Botnet vereint. Das Botnet dient dem Zweck, angreifbare Webseiten aufzuspüren und zu melden.

Jetzt haben sich Kriminelle dieses Add-ons bedient. Windows-Anwender, die die Erweiterung installieren, reihten sich unwissentlich in das „Advanced Power“ genannte Botnetz ein, das alle vom Anwender besuchte Seiten überprüft, ob sie anfällig für SQL-Injection-Angriffe sind. Auf diese Weise sollen mittlerweile bei rund 1,8 Millionen gescannten Webseiten mindestens 1.800 angreifbare Seiten identifiziert worden sein. Per SQL-Injection können Angreifer Befehle über Webseiten direkt an die dahinter liegende Datenbank durchreichen und dort Daten auslesen, die sie für ihre kriminellen Aktivitäten benötigen. Zudem kann man so eine Seite für Drive-By-Angriffe präparieren.

Sicherheitsforscher Brian Krebs hat zudem eine Funktion entdeckt, die auf dem infizierten Rechner Daten und Passwörter auslesen kann. Dieses Modul ist aber laut Krebs derzeit noch nicht aktiviert. Sicherheitsexperte Holden, der die Malware analysierte, vermutet den Ursprung der Firefox-Erweiterung in Tschechien. Mozilla hat das Add-on mittlerweile gebannt und betont, es habe nichts mit dem gleichnamigen legitimen Add-on von Microsoft zu tun. Wie es möglich ist, das gleichzeitig zwei Add-ons gleichen Namens existieren können, erschließt sich daraus nicht.