Cybersicherheitsexperten von DomainTools Intelligence (DTI) haben eine großangelegte Malware-Kampagne im Chrome Web Store identifiziert. Die Angreifer haben mehr als 100 bösartige Browser-Erweiterungen eingeschleust, die sich als legitime Dienste wie VPN-Clients, KI-Tools und Kryptowährungs-Anwendungen tarnen.
Ausgefeilte Täuschungsstrategie durch gefälschte Websites
Seit Februar 2024 haben die Cyberkriminellen ein Netzwerk täuschend echter Websites aufgebaut, die bekannte Dienste wie DeepSeek, Manus, DeBank und FortiVPN imitieren. Diese Phishing-Seiten leiten arglose Nutzer zum offiziellen Chrome Web Store weiter, wo die schadhaften Erweiterungen zum Download bereitstehen. Besonders raffiniert: Die Erweiterungen bieten tatsächlich die beworbenen Funktionen an, während sie im Hintergrund ihre schädlichen Aktivitäten ausführen.
Technische Analyse der Malware-Funktionen
Die forensische Untersuchung der Malware offenbart mehrere kritische Angriffsvektoren:
- Systematischer Diebstahl von Browser-Cookies und Zugangsdaten
- Etablierung von WebSocket-Verbindungen zur Traffic-Manipulation
- Ausführung von Remote-Code durch Command-and-Control-Server
- DOM-Manipulation für gezielte Phishing-Angriffe
Sophisticated Bypass-Techniken der Sicherheitsmechanismen
Die Malware verwendet fortgeschrittene Methoden zur Umgehung der Chrome-Sicherheitsarchitektur. Besonders bemerkenswert ist die Ausnutzung des DOM onreset-Event-Handlers zur Umgehung der Content Security Policy (CSP). Durch modifizierte manifest.json-Dateien werden weitreichende Berechtigungen angefordert, die eine vollständige Kontrolle über den Nutzer-Traffic ermöglichen.
Social-Media als Verbreitungsvektor
Die DTI-Analyse zeigt deutliche Hinweise auf eine koordinierte Social-Media-Kampagne zur Verbreitung der Malware. Die Integration von Facebook-Tracking-Codes auf den Phishing-Websites deutet auf den Einsatz gezielter Werbung und Social-Media-Gruppen zur Ansprache potenzieller Opfer hin.
Google hat nach Bekanntwerden der Bedrohung umgehend reagiert und die Mehrheit der identifizierten Malware-Erweiterungen aus dem Chrome Web Store entfernt. Dennoch wird Nutzern dringend empfohlen, bei der Installation von Browser-Erweiterungen erhöhte Vorsicht walten zu lassen. Experten raten zu regelmäßigen Überprüfungen installierter Erweiterungen, der umgehenden Entfernung ungenutzter Add-ons und einer gründlichen Prüfung angeforderter Berechtigungen vor jeder Installation.
