Eine hochentwickelte Phishing-Kampagne hat mindestens 36 Chrome-Erweiterungen kompromittiert und damit potenziell über 2,6 Millionen Nutzer gefährdet. Die Angreifer nutzten dabei eine ausgeklügelte OAuth-basierte Täuschungsstrategie, um Zugang zu den Entwicklerkonten zu erlangen.
Anatomie des OAuth-Phishing-Angriffs
Die Cyberkriminellen verwendeten eine raffinierte Social-Engineering-Taktik, bei der sie sich als Google-Support ausgaben. Sie verschickten gefälschte Benachrichtigungen über angebliche Verstöße gegen die Chrome Web Store-Richtlinien und drohten mit der Entfernung der Erweiterungen. Zur Täuschung wurden speziell registrierte Domains wie supportchromestore[.]com und forextensions[.]com eingesetzt, die offiziellen Google-Ressourcen täuschend ähnlich sahen.
Technische Details der Kompromittierung
Der Angriff zeichnete sich durch die Ausnutzung legitimer OAuth-Authentifizierungsmechanismen aus. Die Opfer wurden auf eine echte Google-Anmeldeseite weitergeleitet, wo eine als Privacy Policy Extension getarnte schädliche Anwendung weitreichende Berechtigungen zur Verwaltung von Erweiterungen anforderte. Bemerkenswert ist, dass selbst aktivierte Zwei-Faktor-Authentifizierung (2FA) den Angriff nicht verhindern konnte, da der OAuth-Prozess keine zusätzliche Verifizierung erfordert.
Auswirkungen und Schadenspotenzial
Nach erfolgreicher Kompromittierung injizierten die Angreifer bösartige Komponenten (worker.js und content.js) in den Code der Erweiterungen. Diese zielten hauptsächlich auf die Extraktion sensibler Facebook-Nutzerdaten ab, darunter:
- Benutzer-IDs und Zugriffstoken
- Werbe- und Business-Account-Informationen
- 2FA-QR-Codes
- Weitere vertrauliche Kontodaten
Zeitlicher Ablauf und Entdeckung
Die Vorbereitungen für die Angriffskampagne begannen bereits im März 2024 mit der Registrierung der täuschend echten Domains. Die aktive Phase startete am 5. Dezember 2024. Sicherheitsforscher von Extension Total haben bisher 36 kompromittierte Erweiterungen identifiziert, wobei die tatsächliche Zahl möglicherweise deutlich höher liegt.
Dieser Vorfall unterstreicht die wachsende Bedeutung erweiterter Sicherheitsmaßnahmen im Umgang mit OAuth-Authentifizierung. Entwickler sollten zusätzliche Verifizierungsmechanismen implementieren und regelmäßige Sicherheitsaudits durchführen. Für Endnutzer empfiehlt sich eine kritische Überprüfung der Berechtigungsanfragen von Erweiterungen sowie die regelmäßige Kontrolle installierter Browser-Add-ons auf verdächtige Aktivitäten.
