Cybersecurity-Forschende von Socket haben eine neue Kampagne entdeckt, bei der ein Cluster von 108 Google Chrome-Erweiterungen denselben Command-and-Control-Server (C2) nutzt, um Nutzer:innendaten zu sammeln und Browser-Level-Missbrauch zu ermöglichen. Die Erweiterungen injizieren Werbung und beliebigen JavaScript-Code auf jeder besuchten Webseite.
Gemäß der Veröffentlichung des Sicherheitsunternehmens Socket wurden die Erweiterungen unter fünf verschiedenen Herausgeber-Identitäten veröffentlicht: Yana Project, GameGen, SideGames, Rodeo Games und InterAlt. Gemeinsam kommen sie auf etwa 20.000 Installationen im Chrome Web Store. Nicht nur GoogleChrome greift auf den Store zu. Das gilt auch für andere Chrome-basierte Browser.
„Alle 108 Erweiterungen senden gestohlene Zugangsdaten, Benutzer:innenidentitäten und Browserdaten an Server, die von demselben Betreiber kontrolliert werden.“
Kush Pandya von Socket
Technische Details der Malware
Die Untersuchung ergab folgende Aufteilung der schädlichen Funktionen:
| Kategorie | Anzahl | Funktion |
|---|---|---|
| OAuth2-Diebstahl | 54 Erweiterungen | Stehlen Google-Konto-Identität |
| Universal-Backdoor | 45 Erweiterungen | Öffnen beliebige URLs beim Browser-Start |
| Sonstige Malware | 9 Erweiterungen | Verschiedene schädliche Verhaltensweisen |
Zu den spezifischen Angriffsmethoden gehören:
- Telegram-Sessions-Exfiltration: Alle 15 Sekunden werden Telegram-Web-Sessions abgegriffen
- Umgehung von Sicherheitsmechanismen: Entfernen von Security-Headern bei YouTube und TikTok (Content Security Policy, X-Frame-Options, CORS)
- Werbeanzeigen und Gambling-Overlays: Injektion von Inhalten auf jeder besuchten Seite
- Proxy für Übersetzungsanfragen: Alle Übersetzungsaufforderungen werden durch Server des Angreifers geleitet.
Tarnung als legitime Anwendungen
Um Glaubwürdigkeit vorzutäuschen, geben sich die identifizierten Erweiterungen als harmlose Tools aus:
- Telegram-Seitenleisten-Clients
- Slot-Maschinen- und Keno-Spiele
- YouTube- und TikTok-Erweiterungen
- Text-Übersetzungstools
- Allgemeine Seiten-Utilities
Empfehlungen für Betroffene
Nutzer:innen, die eine der Erweiterungen installiert haben (vollständige Liste der Erweiterungen über den Link am Ende des Beitrages abrufbar) , werden dringend aufgefordert:
- Sofortige Deinstallation aller betroffenen Erweiterungen
- Abmeldung von allen Telegram-Web-Sessions über die Telegram-Mobile-App
- Passwortänderungen für betroffene Konten
- Überprüfung der Browser-Einstellungen auf weitere unbekannte Erweiterungen.