Wenn Sie in letzter Zeit häufig auf andere Seiten umgeleitet wurden, als sie ursprünglich angeklickt hatten oder Sie sich über diffuse Google-Suchergebnisse gewundert haben, finden Sie hier möglicherweise eine Erklärung dafür.
Das Schadprogramm CacheFlow wurde im Dezember letzten Jahres in verschiedenen Browser-Erweiterungen für Google Chrome und Microsoft Edge entdeckt. Nach dem Download einer dieser Erweiterungen wird das Programm nach kurzer Zeit aktiv und hat alle Daten, die der Benutzer in seinem Browser eingegeben hat, mitgeschnitten sowie Ergebnisse von Suchmaschinen manipuliert, um den Nutzer auf Werbung- oder Phishingseiten umzuleiten.
Browsererweiterungen, auch Browser-Plug-ins oder Add-ons genannt, sind Softwaremodule, die dem Browser zusätzliche Funktionen und Features verleihen. Größtenteils kostenlos erwerblich, kann der Nutzer diese selbstständig zu seinem Browser hinzufügen und entfernen.
Als scheinbar harmlose Browser-Erweiterung getarnt, konnte CacheFlow mit dieser Methode mehr als 3 Millionen Nutzer infizieren. Es sind 28 betroffene Erweiterungen bekannt. Zum Großteil handelt es sich dabei um unterstützende Dienste für soziale Medien, wie Instagram oder Facebook, aber auch für Video- und Musikplattformen wie Vimeo und Spotify.
Google und Microsoft haben die betroffenen Erweiterungen inzwischen entfernt. Falls Sie eine dieser Erweiterungen heruntergeladen haben, sollten Sie zur Sicherheit dennoch einen Virenscan durchführen.
Neuesten Erkenntnissen zufolge kursiert CacheFlow bereits seit Oktober 2017 im Netz. Dass dieses Schadprogramm es so lange geschafft hat, unbemerkt zu bleiben, hat folgenden Grund.
Tarnung mithilfe von Google Analytics
Diese Malware ist mit dem Ziel, möglichst unauffällig und gut getarnt zu agieren, programmiert worden. Stets im Hintergrund laufend, tarnt CacheFlow seine Kommandos als Google Analytic Skripte, sodass der Benutzer sich nicht über die Skripte wundert, da die auf fast jeder Website aktiv sind.
Das Schadprogramm selbst scheint auch an den Analyseanfragen von Google Analytics interessiert zu sein. Auf diese Weise können daher zwei Ziele verfolgt werden: CacheFlow bleibt unentdeckt und kann gleichzeitig noch die Daten mit abgreifen, die Google Analytics erhebt und an Google weitergibt.
Google Analytics ist ein Trackingtool von Google, mit dem zu Analysezwecken verschiedene Daten von den Benutzern einer Website erhoben werden. Der Seitenbetreiber entscheidet selber, welche Daten erhoben werden. Technisch möglich ist neben der Erfassung der Sitzungsdauer, dem Aktualisieren der Seite oder dem Abspielen von Medien, auch die Analyse der Herkunft des Benutzers, beispielsweise durch Anklicken eines Links, eine Google-Suche oder eine E-Mail.
Aus datenschutzrechtlicher Sicht ist die Verwendung von Google Analytics höchst umstritten. Besonders fragwürdig ist, dass Google seit 2011 nicht mehr alle erhobenen Daten an den Websitenbetreiber weitergibt. Die Suchbegriffe eines Nutzers werden zwar von Google aufgenommen und gespeichert, allerdings nicht an den Auftraggeber, den Besitzer der Website, übermittelt.
Diese Tatsache hat sich CacheFlow zu Nutze gemacht. Da die Malware-Skripte als Google Analytics Skripte getarnt sind, schöpft der Nutzer der Website keinen Verdacht. Dass Google einige Aktivitäten mitverfolgt, ohne die Beteiligten darüber aufzuklären, ist schließlich keine Besonderheit mehr.
Es hätte höchstens den Usern, die Google Analytics normalerweise blockiert haben, verdächtig vorkommen können. Aber auch diese hätten erst bewusst die vorhandenen Tracker auf jeder Website analysieren müssen, um diese Aktivität zu bemerken.
Bei genauerer Analyse der CacheFlow Aktivitäten ist aufgefallen, dass sich die Malware auch in anderen Aspekten auf Google fokussiert. Obwohl die Erweiterungen gleichermaßen für den Microsoft-Browser Edge verfügbar waren, wurden bei der Programmierung des Schadprogramms nur die Google-Dienste berücksichtigt. So wird im Browser Chrome direkt nach Aktivierung der Malware zunächst eine Anfrage an Google gesendet – für den Nutzer unbemerkt selbstverständlich – in der die persönlichen Daten, die der Nutzer in seinem Google Konto hinterlegt hat, abgefragt werden. Diese Anfrage wird dabei so geschickt getarnt, dass selbst Google sie nicht als ungewöhnliche Aktivität bemerkt hat. Auf diese Weise kann die Malware persönliche Daten wie Geburtsdatum, E-Mail-Adresse, Standort und Geräteaktivität problemlos abfragen. Eine ähnliche Abfrage an das Microsoft-Konto unter Edge ist nicht zu verzeichnen.
Vorsicht vor technikaffinen Nutzern
Der Ablauf der CacheFlow Malware ist in erster Linie darauf ausgerichtet, möglichst lange unentdeckt zu bleiben. Nachdem der Nutzer die infizierte Browser-Erweiterung herunterlädt, wartet CacheFlow zunächst drei Tage, bis es aktiv wird. Von diesem Moment an wird jede Suchmaschinenanfrage aufgenommen, analysiert und die Ergebnisse entsprechend modifiziert, um den Nutzer auf Werbungs- oder Phishingseiten umzuleiten. Zudem wird Clickhijacking betrieben. Dabei wird die Darstellung einer Internetseite überlagert, um den Nutzer dazu zu bringen, scheinbar harmlose Mausklicks oder Tastatureingaben zu tätigen, die im Hintergrund etwas völlig anderes auslösen. Auf diese Weise können beispielsweise auch Einwilligungserklärungen bestätigt werden.
Um sicherzugehen, dass die Malware möglichst lange unentdeckt bleibt, wird vermieden, technikaffine Personen zu infizieren. Dafür überprüft CacheFlow die anderen Erweiterungen, die im Browser installiert sind. Wenn es sich dabei um Entwicklungs- und Analysetools handelt, werden die schädlichen Funktionen deaktiviert. Im Quellcode des Schadsoftware ist dafür eine hardgecodete Liste von Browsererweiterungen zu finden, die als „blacklisted“ vermerkt wurden. Sobald eine dieser Erweiterungen erkannt wird, beendet sich das Programm automatisch selber. Zudem wird analysiert, ob die browsereigenen Entwicklertools aktiv sind. Diese Überprüfung wird jedes Mal wiederholt, wenn der Browser geöffnet wurde und wenn die Größe des Browserfensters angepasst wird – für den Fall, dass der Nutzer dies getan hat, um daneben ein Entwicklertool zu öffnen.
Außerdem wird kontrolliert, welche Websiten der Nutzer aufgerufen hat. Hat er auf lokal gehostete Seiten zugegriffen, werden die schädlichen Funktionen ebenfalls deaktiviert. Dafür werden alle URLs inspiziert, um zu sehen, ob es sich um eine private IPv4 Adresse oder einen Link mit der Endung .dev, .local oder .localhost handelt.
Zusätzlich werden alle Suchmaschinen Anfragen des Nutzers durchleuchtet, für den Fall, dass nach einem Server für die infizierte Erweiterung gefragt wurde.
Entdeckt wurde die Existenz der CacheFlow Malware schließlich von einem tschechischen Blogger. Dieser hat durch Zufall festgestellt, dass seine Erweiterung, die eigentlich nur zum Download von Videos in Facebook dienen sollte, heimlich eine JavaScript Datei geladen hat, die nichts mit der Funktionalität der Erweiterung zu tun hatte.
Beim tieferen Blick in die Metadaten der Erweiterungen sind ihm dabei einige Ungereimtheiten aufgefallen. Beispielsweise räumt sich die Erweiterung durch die Installation einige Berechtigungen ein, die eine herkömmliche Browser-Erweiterung nicht benötigen würde, wie die Steuerung über Cookies, Webanfragen und Management über andere Erweiterungen. Außerdem hat sie eine Funktion enthalten, die es ihr ermöglicht, JavaScript Anfragen auszulösen. In einer harmlosen Erweiterung ist dies normalerweise nicht benötigt und deshalb nicht zu finden.
Zudem sind einige programmierte Funktionen so benannt, dass man hier einen anderen Nutzen vermuten würde. Vermutlich mit dem Ziel, misstrauische Benutzer in die Irre zu führen. In diesem Fall haben diese Tatsachen jedoch dazu geführt, dass der technikaffine Tscheche den Code genauer analysiert hat und die schädliche Funktionalität ans Licht bringen konnte.
Was tun gegen Malware in Erweiterungen?
Um sich in Zukunft vor Malware wie dieser zu schützen, ist zu empfehlen, einen Adblocker zu installieren. Für jeden Browser gibt es verschiedene Erweiterungen, die dafür geeignet sind, Werbung und unerwünschte Skripte zu blockieren. Das Programm Ublock Origin beispielsweise zeigt sämtliche Web-Tracker an, die auf der Website gefunden werden und blockiert alle, die nicht explizit vom Benutzer erlaubt werden, darunter auch Google Analytics Tracker.
Eine hundertprozentige Sicherheit bieten diese jedoch nicht. Zum einen besteht die Möglichkeit, dass auch diese Erweiterungen bereits von Schadsoftware befallen sind, und zum anderen können geschickt getarnte Programme wie CacheFlow auch diese, zumindest kurzfristig, austricksen.
Bei ungewöhnlichen Aktivitäten, wie beispielsweise ungewollte Umleitungen auf andere Websiten oder Suchmaschinenergebnisse, die nicht zur Suche passen, sollten vorerst alle Browser-Erweiterungen deaktiviert werden. Dadurch kann getestet werden, ob eine der Erweiterungen dafür verantwortlich ist.
Eine weitere Variante zur sicheren Internetnutzung ist die Benutzung verschiedener Internetbrowser für verschiedene Anwendungsfälle. Alternativ kann auch derselbe Browser mit unterschiedlichen Benutzerprofilen genutzt werden. Dies kann durch Erstellen von verschiedenen Shortcuts für die verschiedenen Profile vereinfacht werden.
Ein Browser wird ausschließlich zum Surfen im Internet genutzt; dabei wird allerdings kein Google verwendet. Zudem sind Adblocker zum Blockieren jeglicher Tracker installiert.
Ein zweiter Browser wird zur Nutzung von Google-Diensten benutzt; sowohl zur Nutzung der Suchmaschine, als auch zum Einloggen in die verschiedenen Dienste. Skripte wie Google Analytics könnten in diesem Browser sogar bedenkenlos aktiviert bleiben, da Google ausschließlich seine eigenen Plattformen tracken würde.
Ein dritter Browser wird für Bankgeschäfte verwendet. In diesem Browser sollten nach Möglichkeit gar keine Cookies erlaubt werden, damit keine der Aktivitäten nachverfolgt werden kann. Ein Deaktivieren aller Cookies hat zur Folge, dass Sitzungen beim Schließen des Browsers sofort beendet werden und Passwörter oder Browserverläufe nicht gespeichert werden. Da dies beim Benutzen von Online-Banking ohnehin nicht empfehlenswert ist, bedeutet diese Deaktivierung in diesem Browser keinerlei Einschränkungen. Lässt sich die Website ohne Cookies nicht öffnen, können ausschließlich die Cookies der Bank erlaubt werden.
Eine zusätzliche Verbesserung dieser Lösung kann erreicht werden, wenn diese verschiedenen Anwendungsfälle nicht auf demselben Benutzerkonto ausgeführt werden; beispielsweise durch Nutzung einer virtuellen Maschine mit einem Linux Betriebssystem, welche nur für Bankgeschäfte genutzt wird. Im Alltag erweisen sich solche Lösungen jedoch häufig als zu umständlich.
Wie dieser Fall von CacheFlow zeigt, gibt es leider keine undurchdringliche Universallösung gegen Viren und Malware. Es ist daher anzuraten, ungewöhnliche Aktivitäten, sowohl bei der Internetnutzung, als auch lokal auf dem Rechner, immer zu hinterfragen und regelmäßig Virenscans laufen zu lassen.
6. September 2021 @ 11:37
Eine Frage: Gibt es eine LISTE die viele der Analysetools blockiert ? und die ich in eine Hosts eintragen kann ?
8. September 2021 @ 9:00
Ja, im Rahmen der bestehenden Adblock-Erweiterungen für die Browser.
Für die Erweiterung „Adblock Plus“ gibt es eine Reihe von Filterlisten, die Sie abonnieren können: https://adblockplus.org/de/subscriptions. Auf dieser Seite finden Sie auch eine Beschreibung der jeweiligen Listen.
In uBlock Origin gibt es unter dem Reiter „Filterlisten“ ebenfalls eine Auflistung von Filterabonnements, die wahlweise aktiviert werden können.
28. Februar 2021 @ 10:36
„Die“ Universallösung gibt es nicht, das stimmt. Aber man kann nahe heran kommen: Vermeiden der Browser Chrome und Edge! Beide spionieren schon ab Werk für ihren jeweiligen Hersteller (Google bzw. MS), da braucht man gar keine bösartigen Addons. Beide enthalten dieselbe konzeptionelle Sicherheitslücke. Die besteht darin, dass den Addons zu viele Rechte eingeräumt werden. Firefox (FF) ist da restriktiver und sauberer konzipiert. Deshalb gibt es auch viel wenige bösartige Addons für FF – wenige Prozente dessen, was für Chrome und Edge herumläuft.
Wenn ich einen Browser brauche, der auf der Chromium-Maschine beruht (z.B. für Videokonferenz), dann nehme ich Brave, Opera oder Vivaldi. Ansonsten mache ich alles mit FF.
Unterschiedliche Browser für unterschiedliche Aufgabenbereiche ist im Prinzip eine gute Idee. Allerdings muss man dafür keine unterschiedlichen Programme nehmen. Bei FF kann man das durch unterschiedliche Profile erledigen. Mir reichen zwei: ein normales und eines für Banking.
Der Browser (das FF-Profil) für Google ist völlig überflüssig. Wer seine Privatsphäre schützen will, meidet Google wie die Pest. Zu ALLEM, was Google anbietet, gibt es saubere Alternativen!
Als Addons sind zu empfehlen: der oben genannte uBlock Origin, dann auch NoScript, Privacy Badger (von der EFF) und Cookie Autodelete.
Das allgegenwärtige Tracking durch F.c.book, Google und Konsorten stoppe ich schon im Router. In dessen Sperrliste stehen die einschlägigen Kandidaten wie google-analytics.com, doubleklick.com, fb.com, facebook.com und so weiter. Ja, F.c.book ist komplett abgeklemmt. Zum Schutz meiner Privatsphäre habe ich natürlich kein Konto bei einem der Datensammelnden asozialen Netzwerke aus den USA. Für den Fall, dass ich unterwegs online gehe (Mobilfunk oder fremde WLAN), habe ich dieselben Sperren auch im Laptop mit NoScript eingerichtet und im Smartphone (LineageOS ohne Google) mit Blokada und anderen.
Zusammenfassung: Man KANN sich gegen Bespitzelung schützen – mit vertretbarem Aufwand.
3. März 2021 @ 10:52
Da haben Sie völlig Recht. Das sind gute Vorschläge!