Schädliche Chrome-Extensions greifen Nutzerdaten ab
Im Chrome Web Store verbreiten Cyberkriminelle über 100 schädliche Erweiterungen, die Nutzerkonten und Daten stehlen. Die Tools sind Teil einer koordinierten Kampagne mit gemeinsamer Infrastruktur.
Über 100 Erweiterungen im Chrome Web Store versuchen derzeit, Google-OAuth2-Bearer-Token zu stehlen, Nutzeroberflächen zu manipulieren oder Werbebetrug zu begehen. Dies berichtet "Bleeping Computer" unter Berufung auf Daten des Cybersecurity-Anbieters Socket.
Die schädlichen Erweiterungen seien Teil einer koordinierten Kampagne, welche dieselbe Command-and-Control-Infrastruktur nutzt. Sie wurden laut Bericht unter fünf verschiedenen Herausgeberidentitäten veröffentlicht und decken fünf Kategorien ab, darunter Telegram Sidebar Clients, Spielautomaten- und Keno-Spiele, Youtube- und Tiktok, Dienstprogramme und ein Übersetzungstool. Code-Kommentare würden auf eine mögliche Verbindung zu einem russischen "Malware-as-a-Service"-Betrieb als Urheber hindeuten.
Extensions greifen Daten ab und übernehmen Konten
Die grösste Gruppe, bestehend aus 78 Erweiterungen, schleuse über die Eigenschaft "innerHTML" einen von den Angreifern kontrollierten HTML-Code in die Benutzeroberfläche ein.
Eine weitere Gruppe, die 54 Erweiterungen umfasse, verwende "chrome.identity.getAuthToken", um sensible Daten wie E-Mail-Adressen, Namen, Profilbilder oder Google-Konto-IDs potenzieller Opfer zu erfassen. Zudem stehlen sie laut "Bleeping Computer" Google-OAuth2-Bearer-Token - kurzlebige Zugriffstoken, die es Anwendungen ermögliche, auf die Daten eines Nutzers zuzugreifen oder in seinem Namen zu handeln.
Eine dritte Gruppe von 45 Erweiterungen verfüge über eine versteckte Funktion, die beliebige URLs öffne und damit als Backdoor diene.
Als "am schwerwiegendsten" habe Socket eine Erweiterung eingestuft, die alle 15 Sekunden Telegram-Web-Sitzungen sowie Daten aus dem "localStorage" und Session-Token abgreife.
Laut dem Bericht von "Bleeping Computer" warnt Socket davor, dass trotz Meldung an Google alle dieser bösartigen Erweiterungen zum Zeitpunkt der Veröffentlichung weiterhin im Chrome Web Store verfügbar sind.
Nutzerinnen und Nutzern wird empfohlen, installierte Erweiterungen mit den von Socket veröffentlichten IDs abzugleichen und alle Übereinstimmungen umgehend zu deinstallieren.
Bereits im Februar erregte Malware in Chrome Extensions Aufmerksamkeit. Lesen Sie hier mehr dazu.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Swiss Post Cybersecurity partnert mit Swisssign
EDR-Killer und Post-Quanten-Kryptografie verschärfen die Ransomware-Bedrohung
Zu viel Persönlichkeit: Deshalb ist der Computer in Star Trek kein Australier
Wanderin landet versehentlich beim Rat von Elrond
Wie digitale Souveränität greifbar wird
Watchguard stellt KI-Agent für MSPs vor
Verein Swiss FS-CSC gründet Cyber-Notfallstab
Sicherheitsverantwortliche aufgepasst! Check Point lädt zur Advantage in Bern am 9. Juni
BAG will US-Techkonzerne von Digitalisierungsprojekt ausschliessen
