Großangelegter Hack

25 Chrome-Extensions mit über 2 Mio. Nutzern kompromittiert

Google Chrome
Bildquelle: PREMIO STOCK/Shutterstock.com
LinkedInRedditWhatsAppPocket

Cyberkriminelle haben in einer weitreichenden Angriffskampagne zahlreiche Chrome-Erweiterungen gekapert. Das Ziel: Nutzerdaten und Zugänge zu wertvollen Online-Konten.

Eine umfangreiche Hacking-Kampagne hat mindestens 25 Chrome-Erweiterungen mit insgesamt über 2,2 Millionen Nutzern kompromittiert. Den Anfang machte die Firma Cyberhaven, die am 26. Dezember ihre Nutzer vor einer manipulierten Version ihrer Browser-Erweiterung warnte. Cyberhaven ist ein Tool zur Verhinderung von Datenverlusten, das als Browsererweiterung entwickelt wurde, um die Datenexfiltration über den Browser zu überwachen und zu blockieren. Die Angreifer hatten eine schadhafte Variante des Add-ons veröffentlicht, die in der Lage war, Nutzerdaten wie Cookies und aktive Sessions bestimmter Websites abzugreifen.

Anzeige

Phishing als Einstiegspunkt

Wie Cyberhaven mitteilte, begann der Angriff am 24. Dezember mit einer Phishing-Mail an die öffentlich einsehbare Support-E-Mail-Adresse des Unternehmens. Ein Mitarbeiter folgte dem Link und landete im regulären Google-Autorisierungsflow für Drittanbieter-Anwendungen. Trotz aktiviertem Google Advanced Protection und Zwei-Faktor-Authentifizierung (2FA) erfolgte keine zusätzliche Authentifizierungsabfrage.

Zwar wurden die Google-Zugangsdaten des Mitarbeiters nicht kompromittiert, jedoch erhielt eine als „Privacy Policy Extension“ getarnte Malware weitreichende Berechtigungen. Dies ermöglichte es den Angreifern, eine manipulierte Version der Cyberhaven-Erweiterung im Chrome Web Store zu veröffentlichen.

Gezielte Attacke auf Werbekonten

Die schadhaften Erweiterungen hatten es besonders auf Facebook-Werbekonten abgesehen. Der eingeschleuste Code war in der Lage, Facebook-Zugriffstoken, Nutzer-IDs und Geschäftskonto-Informationen abzugreifen und an Command-and-Control-Server der Angreifer zu übermitteln.

Anzeige

Zu den größten betroffenen Erweiterungen gehören unter anderem:

  • Visual Effects for Google Meet
  • Reader Mode
  • Email Hunter
  • Bard AI chat
  • Rewards Search Automator
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Kampagne läuft bereits seit über einem Jahr

Wie Secure Annex (via Cybernews), eine Plattform für Browser-Erweiterungs-Sicherheit, berichtet, deutet einiges auf eine längerfristig angelegte Kampagne hin. Bei mindestens acht der kompromittierten Erweiterungen fand sich identischer Code, der Verbindungen zu der verdächtigen Domain sclpfybn[.]com aufbaut. Eine der betroffenen Erweiterungen wurde zuletzt am 5. April 2023 aktualisiert – ein Hinweis darauf, dass die Kampagne bereits seit über einem Jahr läuft.

Google scheint die Bedrohung erkannt zu haben. Mehrere Entwickler berichteten laut Cybernews auf Reddit, dass ihre Erweiterungen Anfang Dezember vorsorglich aus dem Web Store entfernt wurden

Cyberhaven-Nutzer sollten prüfen, ob ihre Extension auf Version 24.10.5 oder neuer aktualisiert wurde. Das Unternehmen hat mittlerweile eine bereinigte Version im Chrome Web Store veröffentlicht.


Lars

Becker

Redakteur

IT Verlag GmbH

Anzeige

Weitere Artikel

Windows 10: Millionen PCs in Deutschland brauchen Update
Samsung wird Hauptaktionär bei Rainbow Robotics
2025 wird das Jahr des Digital Detox
Apple TV+ am Wochenende kostenlos verfügbar
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.