gerade bei heise gelesen:
Spyware tarnt sich als Firefox-Erweiterung
Die Antiviren-Spezialisten von McAfee warnen vor einem Trojanischen Pferd, das sich als Firefox-Erweiterung tarnt. Es wird offenbar derzeit über Spam-Mails verbreitet, die vorgeblich von Wal-Mart stammen. Öffnet der Empfänger den Mail-Anhang auf einem Windows-System, installiert sich der Trojaner als Firefox-Erweiterung und gibt sich als die tatsächlich existierende Extension numberedlinks aus. Anschließend fängt es im Browser unter anderem eingegebene Passwörter und Kreditkartennummern ab, die es an einen externen Server verschickt. McAfee hat das Trojanische Pferd auf den Namen FormSpy getauft, stuft seine Verbreitung allerdings derzeit noch als gering ein.
Der Dateianhang der Mail besteht aus einem ausführbaren Windows-Programm, das sich direkt in die Konfigurationsdateien von Firefox einträgt und damit den regulären Installationsvorgang umgeht. Normalerweise werden Firefox-Erweiterungen als sogenannte XPI-Dateien vertrieben, vor deren Installation der Anwender nach einer Bestätigung gefragt wird, die er erst nach einer mehrsekündigen Bedenkzeit erteilen kann.
In einem Blog-Eintrag fordert Geok Meng Ong von den McAfee Avert Labs Anwender zu extremer Vorsicht bei der Installation unsignierter Firefox-Erweiterungen aus nicht vertrauenswürdigen Quellen auf. Diese gutgemeinte Warnung geht in diesem Fall gleich mehrfach in die falsche Richtung. Zum einen lassen sich Erweiterungen nur von sehr wenigen speziellen Web-Seiten ohne zusätzliche Freigabe installieren. Des weiteren gibt es derzeit so gut wie keine signierten Erweiterungen für Firefox oder Mozilla. Und schließlich hätte dieser Mechanismus gegen diese Attacke nicht geschützt. Denn wenn der Anwender einen Dateianhang öffnet und damit ein fremdes Programm auf seinem Rechner ausführt, verfügt es automatisch über alle Möglichkeiten, die der Anwender auch hat.