Die 108 Erweiterungen verteilen sich nach Angaben von Socket auf mehrere Produktkategorien: Telegram-Sidebar-Clients, Spielautomaten- und Keno-Spiele, Erweiterungen für YouTube und TikTok, ein Übersetzungswerkzeug sowie diverse Hilfsprogramme für Webseiten. „Jede richtet sich an einen anderen Nutzertyp, doch alle teilen sich dasselbe Backend“, erklärt Socket. Genau diese gemeinsame Infrastruktur ordnet die Erweiterungen einer einheitlichen Kampagne zu.
Besondere Aufmerksamkeit widmet Socket der Erweiterung Telegram Multi-account, die die aktive Telegram-Web-Sitzung stiehlt. Die Angreifer können das Nutzerkonto übernehmen, indem sie den lokalen Speicher mit eigenen Daten überschreiben und Telegram zum Neuladen zwingen. Eine weitere Erweiterung, Web Client for Telegram – Teleside, kann ebenfalls Sitzungen abgreifen und enthält im Hintergrundskript eine Backdoor, über die die Betreiber eine Schadkomponente direkt aktivieren können – ohne die Anwendung über den Chrome Web Store zu aktualisieren.
Die 54 Erweiterungen, die beim Login Google-Konten kompromittieren, nutzen identischen Code: Sie beschaffen ein Google-OAuth2-Bearer-Token, rufen damit Nutzerinformationen ab und senden die Daten an einen entfernten Server. „Das OAuth-Token wird lokal verwendet und verlässt den Browser nie. Was den Server des Betreibers erreicht, ist nur ein dauerhafter Identitätsdatensatz: E-Mail-Adresse, Name und Profilbild des Opfers“, so Socket.
Das Hintergrundskript von 45 Erweiterungen enthält eine identische Funktion, die beim Browserstart eine vom C&C-Server übermittelte URL in einem neuen Tab öffnet. „Es gibt keine Einschränkung, welche URL der Server zurückgeben kann. Dieser Kanal übersteht Browser-Neustarts und funktioniert unabhängig davon, ob der Nutzer die Erweiterung jemals öffnet“, merkt Socket an.
Die Sicherheitsfirma gibt an, alle schädlichen Erweiterungen gemeldet zu haben; sie wurden jedoch nicht umgehend aus dem Chrome Web Store entfernt.
