MalwareSchwachstellenDatenschutz

Über 100 manipulierte Chrome-Erweiterungen stehlen Nutzerdaten und Google-Konten

Über 100 manipulierte Chrome-Erweiterungen stehlen Nutzerdaten und Google-Konten
Zusammenfassung

Über 100 bösartige Erweiterungen im offiziellen Chrome Web Store sind Teil einer koordinierten Kampagne, die darauf abzielt, Google-Konten zu kompromittieren und sensible Nutzerdaten zu stehlen. Die von Sicherheitsforschern des Unternehmens Socket entdeckten Malware-Extensions nutzen eine gemeinsame Kommando- und Kontrollinfrastruktur und werden unter fünf verschiedenen Publisher-Identitäten vertrieben – von Telegram-Clients über Spielautomaten-Simulatoren bis hin zu YouTube- und TikTok-Verbesserungen. Die Bedrohung geht weit über einfache Datenverluste hinaus: Die gefährlichsten Varianten stehlen Google OAuth2 Bearer-Token, ermöglichen Kontenaustausch bei Telegram ohne Benutzerkenntnis, injizieren Malware-Code in Webseiten und fungieren als Hintertüren für Remote-Befehle. Besonders besorgniserregend ist, dass viele dieser Extensions zum Zeitpunkt der Veröffentlichung noch im Chrome Web Store verfügbar waren. Deutsche Nutzer, Unternehmen und Behörden sind potenziell betroffen, da Google-Konten ortsunabhängig gültig sind und häufig mit sensiblen Diensten verknüpft sind. Der Vorfall unterstreicht die Notwendigkeit einer kritischen Überprüfung installierter Erweiterungen und zeigt die Anfälligkeit selbst zentralisierter App-Stores für größere Sicherheitsverletzungen.

Die Sicherheitsforschung von Socket hat ein koordiniertes Netzwerk von insgesamt über 100 manipulierten Chrome-Erweiterungen aufgedeckt, das in mehreren Wellen unterschiedliche Angriffsziele verfolgt. Die Kampagne zeigt hohe technische Raffinesse und eine bewusste Strategie zur Infiltration des Chrome Web Stores — Googles offiziellem Verteilkanal für Browser-Erweiterungen.

Die schädlichen Erweiterungen lassen sich in mehrere Gruppen mit unterschiedlichen Angriffszielen unterteilen. Die größte Gruppe mit 78 Erweiterungen injiziert kontrollierte HTML-Inhalte in die Benutzeroberfläche, um Phishing oder weitere Angriffe durchzuführen. Eine zweite Gruppe mit 54 Erweiterungen konzentriert sich auf die Sammlung von Kontoinformationen: Sie greifen auf die Google-API zu, um E-Mail-Adressen, Namen, Profilbilder und Account-IDs auszuleiten. Kritischer ist die Diebstahl des Google OAuth2 Bearer Tokens — eines kurzfristigen Zugriffstokens, das Anwendungen Zugriff auf Nutzerdaten oder die Ausführung von Aktionen im Namen des Nutzers ermöglicht.

Eine dritte Gruppe mit 45 Erweiterungen fungiert als echte Backdoors: Sie starten automatisch beim Hochfahren des Browsers und laden Befehle vom Command-and-Control-Server, ohne dass Nutzer aktiv werden müssen. Diese Hidden Functions ermöglichen es den Angreifern, beliebige URLs zu öffnen oder weitere Befehle auszuführen.

Besonders bemerkenswert ist eine Erweiterung, die Telegram-Web-Sitzungen alle 15 Sekunden abfängt. Sie extrahiert Sitzungsdaten aus dem Browser-Speicher und sendet diese an den C2-Server. Das Perfide: Die Erweiterung kann auch in umgekehrter Richtung arbeiten — sie löscht die Sitzungsdaten eines Opfers und überschreibt sie mit Daten des Angreifers, um das Telegram-Konto zu übernehmen, ohne dass das Opfer dies bemerkt.

Weitere entdeckte Varianten entfernen Sicherheits-Header von YouTube und TikTok, um Werbung einzuspritzen, leiten Übersetzungsanfragen über bösartige Server oder stehlen alte Telegram-Session-Daten.

Socket hat Google benachrichtigt, doch berichtet beunruhigend, dass die meisten Erweiterungen zum Zeitpunkt der Veröffentlichung noch im Chrome Web Store verfügbar sind. Nutzer sollten dringend ihre installierten Erweiterungen überprüfen und verdächtige Einträge sofort deinstallieren. Die Sicherheitsforscher haben eine Liste mit den Erweiterungs-IDs veröffentlicht, die als Referenz dient.

Ähnliche Artikel