Cybersicherheitsforscher von SquareX Labs haben eine hochentwickelte Angriffsmethode aufgedeckt, die es schadhaften Chrome-Erweiterungen ermöglicht, sich als vertrauenswürdige Anwendungen wie 1Password, Krypto-Wallets und Banking-Tools zu tarnen. Diese neue Bedrohung nutzt ausgeklügelte Polymorphismus-Techniken, um Sicherheitsmechanismen zu umgehen und sensible Nutzerdaten zu stehlen.
Raffinierte Infiltrationsstrategie über den Chrome Web Store
Die Angreifer schleusen ihre Malware als scheinbar harmlose Erweiterungen in den offiziellen Chrome Web Store ein. In einem dokumentierten Fall wurde ein vermeintliches KI-Marketing-Tool identifiziert, das neben seiner vorgeblichen Hauptfunktion versteckt bösartigen Code enthielt. Nach der Installation erhält die Erweiterung Zugriff auf die chrome.management API, wodurch sie andere installierte Erweiterungen ausspionieren kann.
Fortschrittliche Erkennungsmethoden für Zielanwendungen
Die Malware verwendet zwei sophistizierte Techniken zur Identifikation installierter Erweiterungen: Zum einen den direkten Zugriff via chrome.management API, zum anderen eine verdeckte Methode, die durch gezielte Ressourcen-Injection auf Webseiten die Präsenz spezifischer Erweiterungen anhand ihrer eindeutigen Identifikatoren ermittelt.
Täuschend echte Imitation legitimer Anwendungen
Nach erfolgreicher Zielidentifikation deaktiviert die Malware temporär die originale Erweiterung und repliziert deren Erscheinungsbild bis ins Detail. Am Beispiel von 1Password wurde demonstriert, wie die Schadsoftware ein gefälschtes Anmeldefenster präsentiert, das einen Session-Timeout vortäuscht und Nutzer zur erneuten Eingabe ihrer Zugangsdaten auffordert.
Technische Aspekte der Verschleierung
Die schadhaften Erweiterungen reproduzieren präzise die visuellen Elemente der Originalanwendungen, einschließlich Namen, Icons und Benutzeroberflächen. Nach erfolgreicher Datenkompromittierung wird der ursprüngliche Zustand wiederhergestellt, was die Erkennung des Angriffs erheblich erschwert.
Präventive Sicherheitsmaßnahmen
Zur Risikominimierung empfehlen Sicherheitsexperten die Implementierung strikterer Kontrollen für Erweiterungsmodifikationen im Chrome-Browser. Insbesondere sollten dynamische Icon- und HTML-Code-Änderungen limitiert und die Einstufung der chrome.management API als „mittleres Risiko“ überdacht werden.
Angesichts dieser ausgefeilten Bedrohung wird Nutzern dringend geraten, bei der Installation neuer Chrome-Erweiterungen erhöhte Vorsicht walten zu lassen. Besonderes Augenmerk sollte auf die angeforderten Berechtigungen gelegt werden. Regelmäßige Überprüfungen des Erweiterungsverzeichnisses auf verdächtige Aktivitäten sowie die Verwendung zusätzlicher Sicherheitslösungen können das Risiko einer Kompromittierung deutlich reduzieren.
