MalwareDatenschutzHackerangriffe

Massive Chrome-Erweiterung-Kampagne: 108 Malware-Addons stehlen Nutzerdaten und öffnen Hintertüren

Massive Chrome-Erweiterung-Kampagne: 108 Malware-Addons stehlen Nutzerdaten und öffnen Hintertüren
Zusammenfassung

Ein massiver Sicherheitsvorfall erschüttert das Chrome-Ökosystem: Sicherheitsexperten der Firma Socket haben über 100 bösartige Browser-Erweiterungen entdeckt, die von mehr als 20.000 Nutzern installiert wurden. Die Malware-Extensions wurden über fünf verschiedene Accounts verbreitet und sind Teil einer koordinierten Kampagne, die eine gemeinsame Kommando- und Kontrollinfrastruktur nutzt. Die Angreifer setzen dabei auf Täuschung: Die Extensions bieten tatsächliche Funktionen wie Telegram-Clients, Spiele oder YouTube-Verbesserungen, während im Hintergrund Schadcode läuft. Die Palette der Malware-Aktivitäten reicht vom Diebstahl von Google-Konten über OAuth2-Token bis hin zu Backdoor-Funktionen, die willkürliche URLs öffnen können, sowie dem Ausspionieren von Telegram-Sitzungen und Adware-Injektionen. Für deutsche Nutzer stellt dies eine erhebliche Bedrohung dar, besonders wenn sie diese Extensions installiert haben. Unternehmen müssen ihre Mitarbeiter sensibilisieren und Chrome-Extension-Richtlinien verschärfen, während Behörden verstärkt vor solchen Angriffsmustern warnen sollten. Der Fall zeigt erneut die Schwächen im Chrome Web Store bei der Überprüfung von Anwendungen vor ihrer Veröffentlichung.

Die Dimension des aktuellen Angriffs ist beachtlich: 108 infizierte Erweiterungen mit 20.000+ Installationen sprechen für eine systematische, gut organisierte Operation. Socket dokumentierte dabei verschiedene Angriffsszenarien, die alle das gleiche Ziel verfolgten — an sensible Nutzerdaten zu gelangen und Kontrolle über Browser und Konten zu erlangen.

Besonders tückisch ist die technische Umsetzung: Die Extensions boten tatsächliche Funktionalität. Ein Telegram-Sidebar-Client funktioniert als Telegram-Sidebar, eine Slot-Machine lädt sich als Spiel. Dieser Ansatz senkt die Wahrscheinlichkeit, dass Nutzer Verdacht schöpfen. Der Schadcode lädt sich parallel im Hintergrund und verbindet sich diskret mit den Command-and-Control-Servern der Angreifer.

Die Angreifer setzten mehrere spezialisierte Techniken ein. Bei der Google-Konto-Diebstahl-Variante (54 Extensions) interessierte die Angreifer nicht der gesamte OAuth2-Token, sondern nur die permanenten Identifikatoren: E-Mail-Adresse, Name und Profilbild des Opfers. Diese wurden an externe Server übermittelt — ein subtiler Ansatz, der weniger auffällt als der Transfer kompletter Authentifizierungsdaten.

Die 45 Erweiterungen mit Hintertür-Funktionalität waren noch gefährlicher: Sie öffneten beim Browser-Start beliebige URLs, die der Command-and-Control-Server zurückgab. Dieser Mechanismus funktionierte unabhängig davon, ob der Nutzer die Extension überhaupt aktiv nutzte — und überstand selbst Browser-Neustarts. Damit konnten die Angreifer beliebige Inhalte einschleusen oder Malware nachladen.

Weitere Extensions zielten auf Telegram-Sessions ab oder injizierten Werbeanzeigen in YouTube und TikTok. Einige leiteten sogar Übersetzungsanfragen durch attacker-kontrollierte Server, was Zugriff auf Übersetzungsinhalte ermöglichte.

Besonders kritisch: Socket meldete die Extensions dem Chrome Web Store, doch diese wurden nicht sofort entfernt. Dies deutet auf Schwachstellen bei Googles Moderation hin. Für deutsche Nutzer ist der Vorfall ein warnendes Beispiel: Browser-Erweiterungen sollten nur aus vertrauenswürdigen Quellen installiert werden, und regelmäßige Überprüfungen sind essentiell. Unternehmen sollten den Einsatz unkontrollierter Extensions in ihren Netzwerken überdenken.

Ähnliche Artikel