108 schädliche Chrome-Erweiterungen greifen Google- und Telegram-Daten ab
Automatisiert erstellt von CyberDeutsch
Zusammenfassung
Sicherheitsforscher des Unternehmens Socket haben eine Kampagne aufgedeckt, in der 108 Erweiterungen für Google Chrome mit derselben Befehls- und Kontrollinfrastruktur (C2) kommunizieren. Ziel der Erweiterungen ist es, Nutzerdaten einzusammeln und den Browser zu missbrauchen, indem sie auf jeder besuchten Webseite Werbung und beliebigen JavaScript-Code einschleusen. Nach Angaben von Socket erscheinen die Add-ons unter fünf verschiedenen Anbieteridentitäten – Yana Project, GameGen, SideGames, Rodeo Games und InterAlt – und kommen im Chrome Web Store zusammen auf rund 20.000 Installationen. Laut dem Sicherheitsforscher Kush Pandya leiten alle 108 Erweiterungen gestohlene Zugangsdaten, Nutzeridentitäten und Browsing-Daten an Server desselben Betreibers weiter. Um sich einen Anschein von Seriosität zu geben, tarnen sich die Erweiterungen unter anderem als Telegram-Seitenleisten, Spielautomaten- und Keno-Spiele, YouTube- und TikTok-Erweiterungen sowie als Übersetzungs- und Hilfswerkzeuge. Während die beworbenen Funktionen bewusst breit gestreut sind, teilen sich alle dasselbe Backend. Wer eine der Erweiterungen installiert hat, sollte sie umgehend entfernen.
Die Analyse von Socket ordnet die 108 Erweiterungen nach ihrem Verhalten. 54 Add-ons stehlen die Google-Kontoidentität über OAuth2. Weitere 45 Erweiterungen enthalten eine universelle Hintertür, die beliebige URLs öffnet, sobald der Browser gestartet wird. Die übrigen zeigen ein gemischtes Spektrum schädlicher Funktionen.
Im Hintergrund erfasst der Schadcode Sitzungsinformationen, schleust beliebige Skripte ein und öffnet vom Angreifer gewählte URLs – ohne Wissen der Nutzer. Fünf der Erweiterungen nutzen laut Socket die declarativeNetRequest-API von Chrome, um Sicherheits-Header von Zielseiten zu entfernen, bevor die Seite geladen wird.
Verbindendes Element aller Erweiterungen ist die gemeinsame Infrastruktur: Sämtliche 108 schädlichen Add-ons greifen auf dasselbe Backend unter der Adresse 144.126.135[.]238 zu. Genau diese gemeinsame C2-Anbindung war es, die das Cluster überhaupt als zusammengehörig erkennbar machte.
Wer hinter den richtlinienwidrigen Erweiterungen steht, ist bislang unklar. Eine Untersuchung des Quellcodes förderte allerdings in mehreren Add-ons russischsprachige Kommentare zutage.
Socket rät Nutzern, die eine der Erweiterungen installiert haben, sie umgehend zu entfernen und sich über die Telegram-App auf dem Mobilgerät aus allen Telegram-Web-Sitzungen abzumelden.