Die Forscher gliedern die Schadfunktionen in mehrere Cluster. Der größte umfasst 78 Erweiterungen, die über die Eigenschaft „innerHTML“ vom Angreifer kontrolliertes HTML in die Benutzeroberfläche einschleusen.

Eine zweite Gruppe von 54 Erweiterungen nutzt „chrome.identity.getAuthToken“, um E-Mail-Adresse, Namen, Profilbild und Google-Konto-ID des Opfers zu erfassen. Zusätzlich stehlen sie den Google-OAuth2-Bearer-Token – ein kurzlebiges Zugriffstoken, das Anwendungen den Zugriff auf Nutzerdaten oder Handlungen im Namen des Nutzers erlaubt.

Ein dritter Satz von 45 Erweiterungen enthält eine versteckte Funktion, die beim Start des Browsers ausgeführt wird und als Backdoor arbeitet: Sie ruft Befehle vom C2-Server ab und kann beliebige URLs öffnen. Eine Interaktion des Nutzers mit der Erweiterung ist dafür nicht nötig.

Als „am schwerwiegendsten“ stuft Socket eine Erweiterung ein, die alle 15 Sekunden Telegram-Web-Sitzungen stiehlt. Sie extrahiert Sitzungsdaten aus dem „localStorage“ sowie den Sitzungs-Token für Telegram Web und sendet die Informationen an den C2-Server. Zudem verarbeitet sie eine eingehende Nachricht (set_session_changed), die den umgekehrten Vorgang ausführt: Laut Socket leert sie den localStorage des Opfers, überschreibt ihn mit vom Akteur gelieferten Sitzungsdaten und erzwingt einen Neuladen von Telegram. „Damit kann der Betreiber den Browser jedes Opfers ohne dessen Wissen auf ein anderes Telegram-Konto umstellen“, so Socket.

Daneben fanden die Forscher drei Erweiterungen, die Sicherheitsheader entfernen und Werbung in YouTube und TikTok einschleusen, eine weitere, die Übersetzungsanfragen über einen bösartigen Server leitet, sowie eine derzeit inaktive Erweiterung zum Diebstahl von Telegram-Sitzungen, die auf bereitgestellter Infrastruktur basiert.

Socket hat Google über die Kampagne benachrichtigt, warnt aber, dass alle schädlichen Erweiterungen zum Zeitpunkt der Berichtsveröffentlichung weiterhin im Chrome Web Store abrufbar waren. BleepingComputer bestätigt, dass viele der im Socket-Bericht aufgeführten Erweiterungen zum Veröffentlichungszeitpunkt noch verfügbar sind; eine Anfrage an Google blieb bislang unbeantwortet.

Nutzern wird empfohlen, ihre installierten Erweiterungen mit den von Socket veröffentlichten IDs abzugleichen und Treffer umgehend zu deinstallieren.