Schädliche Chrome-Extensions greifen Nutzerdaten ab
Im Chrome Web Store verbreiten Cyberkriminelle über 100 schädliche Erweiterungen, die Nutzerkonten und Daten stehlen. Die Tools sind Teil einer koordinierten Kampagne mit gemeinsamer Infrastruktur.
Über 100 Erweiterungen im Chrome Web Store versuchen derzeit, Google-OAuth2-Bearer-Token zu stehlen, Nutzeroberflächen zu manipulieren oder Werbebetrug zu begehen. Dies berichtet "Bleeping Computer" unter Berufung auf Daten des Cybersecurity-Anbieters Socket.
Die schädlichen Erweiterungen seien Teil einer koordinierten Kampagne, welche dieselbe Command-and-Control-Infrastruktur nutzt. Sie wurden laut Bericht unter fünf verschiedenen Herausgeberidentitäten veröffentlicht und decken fünf Kategorien ab, darunter Telegram Sidebar Clients, Spielautomaten- und Keno-Spiele, Youtube- und Tiktok, Dienstprogramme und ein Übersetzungstool. Code-Kommentare würden auf eine mögliche Verbindung zu einem russischen "Malware-as-a-Service"-Betrieb als Urheber hindeuten.
Extensions greifen Daten ab und übernehmen Konten
Die grösste Gruppe, bestehend aus 78 Erweiterungen, schleuse über die Eigenschaft "innerHTML" einen von den Angreifern kontrollierten HTML-Code in die Benutzeroberfläche ein.
Eine weitere Gruppe, die 54 Erweiterungen umfasse, verwende "chrome.identity.getAuthToken", um sensible Daten wie E-Mail-Adressen, Namen, Profilbilder oder Google-Konto-IDs potenzieller Opfer zu erfassen. Zudem stehlen sie laut "Bleeping Computer" Google-OAuth2-Bearer-Token - kurzlebige Zugriffstoken, die es Anwendungen ermögliche, auf die Daten eines Nutzers zuzugreifen oder in seinem Namen zu handeln.
Eine dritte Gruppe von 45 Erweiterungen verfüge über eine versteckte Funktion, die beliebige URLs öffne und damit als Backdoor diene.
Als "am schwerwiegendsten" habe Socket eine Erweiterung eingestuft, die alle 15 Sekunden Telegram-Web-Sitzungen sowie Daten aus dem "localStorage" und Session-Token abgreife.
Laut dem Bericht von "Bleeping Computer" warnt Socket davor, dass trotz Meldung an Google alle dieser bösartigen Erweiterungen zum Zeitpunkt der Veröffentlichung weiterhin im Chrome Web Store verfügbar sind.
Nutzerinnen und Nutzern wird empfohlen, installierte Erweiterungen mit den von Socket veröffentlichten IDs abzugleichen und alle Übereinstimmungen umgehend zu deinstallieren.
Bereits im Februar erregte Malware in Chrome Extensions Aufmerksamkeit. Lesen Sie hier mehr dazu.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Booking.com setzt nach Datenleck Buchungs-PINs zurück
Als wären Velociraptoren nicht schon wild genug - sie konnten wohl auch fliegen
Schädliche Chrome-Extensions greifen Nutzerdaten ab
Update: Nach Anthropic stellt auch OpenAI ein LLM für die Cybersecurity-Branche vor
Betrüger phishen mit gefälschten Wohnungsinseraten
Elovade nimmt Superops ins Portfolio auf
Wer schützt was?
Update: Faigle ersetzt CEO von Witzig Alteco Digital Services
Inacta befördert Leiter Financial Services zum CEO
