Sicherheitsforscher haben eine koordinierte Malware-Kampagne im Chrome Web Store aufgedeckt: 108 Chrome-Erweiterungen wurden genutzt, um Nutzerdaten abzugreifen, Webseiteninhalte zu manipulieren und den Browser verdeckt zu steuern. Die Extensions sind ueber eine gemeinsame Command-and-Control-(C2)-Infrastruktur verbunden und koennen Werbe- sowie beliebigen JavaScript-Code in besuchte Seiten einschleusen.
Angriffskampagne im Chrome Web Store und zentrale C2-Infrastruktur
Nach Angaben des Sicherheitsunternehmens Socket traten die betreffenden Erweiterungen im offiziellen Chrome Web Store unter fünf vermeintlich unterschiedlichen Entwicklerkonten auf: Yana Project, GameGen, SideGames, Rodeo Games und InterAlt. Zusammen brachten sie es auf rund 20.000 Installationen. Damit handelt es sich zwar nicht um eine globale Masseninfektion, aber um eine professionell orchestrierte Kampagne.
Alle Erweiterungen kommunizieren mit einem zentralen Backend unter der IP-Adresse 144.126.135[.]238. Im Quellcode fanden die Forscher Kommentare in russischer Sprache, was auf ein moegliches Herkunftsumfeld der Entwickler hindeuten koennte. Eine eindeutige Zuordnung zu bestimmten Akteuren liegt jedoch bislang nicht vor – ein typisches Bild bei modernen, arbeitsteilig organisierten Malware-Operationen.
Wie die schaedlichen Chrome-Erweiterungen arbeiten
Missbrauch von OAuth2: Diebstahl von Google-Konten ohne Passwortabfrage
54 der 108 Erweiterungen zielen laut Analyse speziell auf den Identitaetsdiebstahl von Google-Accounts ab. Dazu missbrauchen sie den standardisierten Autorisierungsmechanismus OAuth2. Statt Passwoerter direkt abzugreifen, versuchen die Angreifer, Zugriffstoken oder verknuepfte Identifikatoren zu stehlen, die eine bestehende Sitzung repraesentieren.
Solche Tokens dienen gegenueber Google und anderen Diensten als Nachweis einer bereits erfolgten Anmeldung. Geraet ein Token in die Haende von Angreifern, koennen diese unter Umstaenden auf das Konto zugreifen, ohne Benutzername und Passwort zu kennen und ohne zusaetzliche Login-Abfragen ausloesen. In der Praxis ermoeglicht dies unter anderem das Auslesen von E-Mails, Cloud-Daten oder Synchronisationsinformationen aus Chrome.
Universelle Backdoors: Oeffnen beliebiger URLs beim Browserstart
Weitere 45 Erweiterungen implementieren eine Art universelle Backdoor. Beim Start des Browsers rufen sie automatisch beliebige, vom C2-Server vorgegebene URLs auf. Damit koennen Angreifer den Nutzer etwa auf Phishing-Seiten lotsen, zusaetzliche Schadskripte nachladen oder gross angelegte Werbe- und Betrugskampagnen ausspielen.
Andere identifizierte Extensions manipulieren gezielt Netzwerkanfragen des Browsers oder injizieren eigenen JavaScript-Code in besuchte Seiten. Dadurch lassen sich Inhalte austauschen, Formulare manipulieren oder unauffaellig Daten exfiltrieren – ein Vorgehen, das aus typischen Man-in-the-Browser-Angriffen bekannt ist.
Getarnt als nuetzliche Tools: Telegram, YouTube, Spiele und Uebersetzer
Um Vertrauen zu erzeugen, tarnen sich die bösartigen Chrome-Erweiterungen als alltaegliche Hilfswerkzeuge. Dazu gehoeren seitliche Clients fuer Telegram Web, simple Spiele wie Slot-Machines oder Keno, vermeintliche YouTube- und TikTok-Optimierer sowie Uebersetzungs- und „Page-Utility“-Tools.
Der nach aussen beworbene Funktionsumfang wirkt harmlos und entspricht ueblichen Kategorien im Chrome Web Store. Im Hintergrund binden alle diese Erweiterungen jedoch dieselbe malwarelastige Infrastruktur ein und fuehren Hintergrundskripte aus, die fuer den Nutzer unsichtbar bleiben. So erhalten die Angreifer Zugriff auf Sitzungsdaten, Cookies, Browserverlauf und koennen laufende Web-Sessions etwa von Google oder Telegram auswerten und missbrauchen.
Manipulation von HTTP-Sicherheitsheadern: Angriff auf die Schutzmechanismen des Browsers
Besonders kritisch sind laut Socket fuenf Erweiterungen, die das Chrome-API declarativeNetRequest einsetzen, um HTTP-Sicherheitsheader gezielt zu entfernen, bevor eine Seite im Browser geladen wird. Betroffen sein koennen Header wie Content-Security-Policy (CSP) oder X-Frame-Options, die normalerweise das Ausfuehren unsicheren Codes oder das Einbetten von Seiten in fremde Inhalte einschraenken.
Durch das Entfernen dieser Header lockern die Angreifer die Sicherheitsvorgaben des Zielsystems und koennen eigenen Code einfacher in legitime Webseiten einschleusen. Für den Nutzer erscheint die Seite optisch unveraendert, waehrend im Hintergrund Schutzmechanismen ausgehebelt sind – ein Szenario, das klassische Web-Sicherheitsmodelle unterlaeuft und forensisch nur schwer zu erkennen ist.
Risiken fuer Nutzer und Unternehmen
Boesartige Browser-Erweiterungen sind besonders gefaehrlich, weil sie innerhalb der vertrauten Browser-Umgebung agieren und umfangreiche Berechtigungen nutzen koennen. Typischerweise erhalten sie Zugriff auf:
– Browserverlauf und Surfverhalten;
– Cookies und Sitzungs-IDs;
– OAuth-Tokens und andere Authentifizierungsdaten;
– Inhalte geoeffneter Tabs und eingegebene Formularinformationen.
Die Kombination aus Google-Konto-Uebernahme, potentieller Kompromittierung von Telegram-Web-Sessions und gezielter Inhaltmanipulation ermoeglicht es Angreifern, Konten zu kapern, Social-Engineering-Angriffe durchzufuehren, Schadlinks zu verbreiten und kompromittierte Profile fuer weitere Kampagnen zu missbrauchen. Die Tatsache, dass die Installation über den offiziellen Chrome Web Store erfolgt, vermittelt vielen Nutzern ein truegerisches Sicherheitsgefuehl.
Empfehlungen: So schuetzen Sie Chrome, Google-Konten und Web-Sessions
Socket empfiehlt allen Anwendern, die Erweiterungen der genannten Publisher installiert haben, diese unverzueglich zu entfernen. Nutzer von Telegram sollten zusaetzlich im Mobil-Client unter „Geraete“ alle Web-Sessions abmelden, um moeglich kompromittierte Sitzungen zu invalidieren.
Darueber hinaus gelten folgende Best Practices zur Staerkung der Browser-Sicherheit:
– fuehren Sie regelmaessig einen Audit Ihrer Chrome-Erweiterungen durch und loeschen Sie alles, was nicht zwingend benoetigt oder nicht klar vertrauenswuerdig ist;
– installieren Sie nur Erweiterungen von Entwicklern mit nachvollziehbarer Reputation und vielen glaubwuerdigen Bewertungen;
– achten Sie besonders auf Berechtigungen wie „Daten auf allen besuchten Websites lesen und aendern“ und verzichten Sie im Zweifel auf die Installation;
– aktivieren Sie Mehr-Faktor-Authentifizierung (MFA/2FA) fuer Google, Telegram und andere kritische Dienste;
– halten Sie Browser und Erweiterungen konsequent auf dem neuesten Stand;
– pruefen Sie regelmaessig aktive Sitzungen und angemeldete Geraete in Ihren Online-Konten.
Der Vorfall um die 108 boesartigen Chrome-Erweiterungen macht deutlich, dass selbst offizielle App-Stores keine absolute Sicherheit garantieren. Nutzer und Organisationen sollten den Browser als vollwertige Angriffsflaeche betrachten, die nur mit moeglichst wenigen, gut kontrollierten Erweiterungen betrieben wird. Wer Berechtigungen kritisch prueft, seine Konten mit 2FA absichert und installierte Add-ons regelmaessig hinterfragt, reduziert das Risiko von Datenklau und Konto-Uebernahmen deutlich.
