MalwareDatenschutzCyberkriminalität

108 bösartige Chrome-Erweiterungen stehlen Google- und Telegram-Daten von 20.000 Nutzern

108 bösartige Chrome-Erweiterungen stehlen Google- und Telegram-Daten von 20.000 Nutzern
Zusammenfassung

Sicherheitsforscher haben eine umfangreiche Kampagne mit 108 bösartigen Google-Chrome-Erweiterungen aufgedeckt, die etwa 20.000 Nutzer betroffen hat. Diese Extensions kommunizieren alle mit derselben Command-and-Control-Infrastruktur und wurden unter fünf verschiedenen Publisher-Namen wie Yana Project, GameGen und SideGames im Chrome Web Store verbreitet. Die Malware stiehlt systematisch Anmeldedaten von Google- und Telegram-Konten, injiziert unerwünschte Werbung in Webseiten und führt beliebigen Code aus. Besonders besorgniserregend ist, dass 54 Extensions Google-Authentifizierungsdaten über OAuth2 abfangen und 45 Extensions als universelle Hintertüren fungieren. Die Extensions tarnen sich als harmlose Tools wie Telegram-Sidebar-Clients, Spiele oder YouTube-Enhancer, um Benutzer zum Download zu verleiten. Für deutsche Nutzer, Unternehmen und Behörden stellt dies ein erhebliches Risiko dar, da gestohlene Anmeldedaten zu Datenmissbrauch, Identitätsdiebstahl und unbefugtem Zugriff auf sensible Informationen führen können. Besonders Geschäftsanwender sind gefährdet, da ihre Chrome-Profile möglicherweise Zugang zu Unternehmensressourcen bieten. Nutzer sollten sofort überprüfen, welche Extensions installiert sind, verdächtige Erweiterungen deinstallieren und ihre Passwörter ändern.

Die Sicherheitsforscher von Socket haben eine koordinierte Angriffskampagne aufgedeckt, bei der 108 Chrome-Erweiterungen unter dem Dach einer gemeinsamen Bedrohungsaktivität operieren. Laut Sicherheitsanalyst Kush Pandya leiten alle 108 Extensions gestohlene Anmeldedaten, Benutzeridentitäten und Browserdaten an Server unter Kontrolle desselben Betreibers weiter.

Die Malware arbeitet nach einem differenzierten Ansatz: 54 der Add-ons exploitieren Googles OAuth2-Authentifizierungsmechanismus, um Google-Kontoinformationen zu stehlen. 45 weitere Extensions enthalten einen universellen Backdoor, der automatisch beim Browser-Start willkürliche URLs öffnet. Die verbleibenden Extensions führen verschiedene weitere schädliche Aktivitäten durch.

Besonders tückisch ist die Verschleierungsstrategie: Die Extensions geben sich als Telegram-Seitenleisten-Clients, Spielautomaten und Keno-Spiele, YouTube- und TikTok-Optimierungstools sowie Text-Übersetzungs-Programme aus. Diese Vielfalt der vordergründigen Funktionalität soll eine breite Nutzerschaft erreichen, während im Hintergrund dieselbe schädliche Infrastruktur am Werk ist.

Die wirkliche Gefahr liegt in der Hintergrund-Aktivität: Die bösartige Code-Ausführung erfasst unbemerkt Session-Informationen, injiziert willkürliche Skripte in jeden besuchten Webseite und öffnet URLs nach Wahl der Angreifer. Besonders kritisch sind fünf Extensions, die Chromes declarativeNetRequest API missbrauchen, um Sicherheits-Header von Zielwebseiten zu entfernen, bevor Seiten geladen werden.

Alle 108 Erweiterungen nutzen einen gemeinsamen Backend auf der IP-Adresse 144.126.135[.]238. Die Identität hinter dieser Kampagne ist noch unklar, doch Quelltextanalysen haben russische Sprachkommentare in mehreren Add-ons enthüllt – ein Hinweis auf die geografische Herkunft der Angreifer.

Nutzer, die eines dieser Extensions installiert haben, sollten sofortige Maßnahmen ergreifen: Die Erweiterungen müssen umgehend deinstalliert werden. Besonders wichtig ist, sich aus allen Telegram-Web-Sitzungen abzumelden – idealerweise über die Telegram-Mobile-App, um sicherzustellen, dass keine offenen Sessions für Angreifer zugänglich sind. Nutzer sollten zudem ihre Google-Account-Passwörter ändern und ihre Account-Aktivität überprüfen.

Ähnliche Artikel