MellowTel-Malware: 245 Browser-Erweiterungen verwandeln Nutzer in unfreiwillige Web-Scraper

CyberSecureFox 🦊

Eine groß angelegte Cybersecurity-Bedrohung hat die Browser-Landschaft erschüttert: Forscher von SecurityAnnex haben ein komplexes Netzwerk aus 245 bösartigen Browser-Erweiterungen aufgedeckt, die insgesamt über 909.000 Mal heruntergeladen wurden. Diese Erweiterungen für Chrome, Firefox und Edge verwandeln unwissentlich die Browser ihrer Nutzer in kommerzielle Web-Scraping-Tools und gefährden dabei sowohl Privatsphäre als auch Unternehmenssicherheit.

Die perfide Funktionsweise der MellowTel-Bibliothek

Das Herzstück dieser Bedrohung bildet die Open-Source-Bibliothek MellowTel-js, die sich als legitimes Monetarisierungstool für Entwickler tarnt. Die infizierten Erweiterungen präsentieren sich als nützliche Alltagshelfer – von Lesezeichen-Managern über Clipboard-Tools bis hin zu Lautstärke-Enhancern oder Zufallszahlen-Generatoren. Hinter dieser harmlosen Fassade verbirgt sich jedoch eine ausgeklügelte Datensammel-Operation.

Die Analyse enthüllte enge Verbindungen zwischen MellowTel und der Firma Olostep, die sich als „weltweit zuverlässigste und kosteneffizienteste Scraping-API“ bewirbt. Zahlreiche Kunden, darunter auch KI-Startups, bezahlen für den Zugang zu Webseiten über ein geografisch verteiltes Netzwerk kompromittierter Browser – ohne das Wissen der betroffenen Nutzer.

Technische Raffinesse: Umgehung von Browser-Sicherheitsmechanismen

Die MellowTel-Bibliothek demonstriert bemerkenswerte technische Sophistication bei der Umgehung etablierter Browser-Sicherheitsmaßnahmen. Nach der Installation aktiviert die Erweiterung einen WebSocket, der sich mit einem AWS-Server verbindet und kontinuierlich Informationen über Standort, Bandbreite und Nutzeraktivitäten sammelt.

Besonders bedrohlich ist die Einschleusung versteckter iFrames in besuchte Webseiten. Diese unsichtbaren Frames stellen automatisch Verbindungen zu Websites her, die von einem Remote-Server vorgegeben werden. Nutzer haben dabei keinerlei Kontrolle darüber, welche Ressourcen in ihrem Browser geladen werden.

Neutralisierung von Sicherheitsheadern

Um Schutzmaßnahmen wie Content-Security-Policy und X-Frame-Options zu überwinden, fordert die Bibliothek die kritischen Berechtigungen declarativeNetRequest und access an. Diese Privilegien ermöglichen es, Web-Requests und -Responses dynamisch zu manipulieren und Sicherheitsheader aus Server-Antworten zu entfernen.

Diese Schwächung der Browser-Sicherheit schafft zusätzliche Angriffsvektoren, insbesondere für Cross-Site-Scripting (XSS)-Attacken, die unter normalen Umständen durch Browser-Sicherheitsmechanismen blockiert würden.

Unternehmensrisiken und aktuelle Bedrohungslage

Für Unternehmensnetzwerke stellt MellowTel eine erhebliche Gefahr dar. Strenge Corporate-Security-Richtlinien, die normalerweise ausführbaren Code und besuchbare Websites kontrollieren, werden durch die verdeckten Verbindungen zu unbekannten Ressourcen unterlaufen. Dies kann Compliance-Verstöße zur Folge haben und neue Einfallstore für weiterführende Cyberangriffe schaffen.

Nach Veröffentlichung der Forschungsergebnisse begannen die meisten Extension-Stores mit der Entfernung der kompromittierten Plugins. Der MellowTel-Schöpfer Arsian Ali verteidigt jedoch weiterhin seine Entwicklung und bezeichnet sie als „Open-Source-Alternative zu Werbemechanismen“.

Schutzmaßnahmen und Sicherheitsempfehlungen

Ein proaktiver Ansatz zur Abwehr solcher Bedrohungen erfordert regelmäßige Audits installierter Browser-Erweiterungen. Nutzer sollten besonders kritisch prüfen, welche Berechtigungen Extensions anfordern – insbesondere solche, die Zugriff auf Web-Request-Modifikationen oder weitreichende Website-Zugriffsrechte verlangen.

Dieser Vorfall unterstreicht die Evolution moderner Cyber-Bedrohungen und die Notwendigkeit strengerer Kontrollen im Browser-Extension-Ökosystem. Selbst scheinbar harmlose Plugins können komplexe Datensammel-Operationen und unerlaubte Ressourcennutzung verschleiern. Eine gesunde Skepsis gegenüber Extension-Berechtigungen und regelmäßige Sicherheitsüberprüfungen sind daher unverzichtbare Elemente einer robusten Cybersecurity-Strategie.

Schreibe einen Kommentar

Diese Seite verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden..