Eine neue Cyber-Spionagekampagne zielt gezielt auf Personalabteilungen und Finanzsysteme großer Unternehmen ab. Sicherheitsforscher haben bösartige Browser-Erweiterungen entdeckt, die Zugänge zu Systemen wie SAP SuccessFactors kapern.
Die Bedrohung, die das Sicherheitsunternehmen Socket am Wochenende aufdeckte, markiert eine gefährliche Entwicklung. Getarnt als nützliche Helfer für Plattformen wie Workday, NetSuite und SAP SuccessFactors stehlen die Erweiterungen Zugangsdaten und blockieren aktiv die IT-Sicherheit.
Der Wolf im Schafspelz: Gefälschte Premium-Tools
Die Angreifer setzen auf Social Engineering. Unter Namen wie „Data By Cloud“ oder „Software Access“ lockten sie Power-User mit Versprechen von effizienteren Workflows oder exklusiven Funktionen. Fünf spezifische Erweiterungen bilden das Herz der Operation, darunter „Data By Cloud 2“ mit über 1.000 Installationen.
Insgesamt sind etwa 2.500 Nutzer betroffen – eine vergleichsweise kleine, aber hochgefährliche Zahl. Es handelt sich nicht um Durchschnittsnutzer, sondern wahrscheinlich um HR-Administratoren, Finanzverantwortliche und IT-Manager mit weitreichenden Zugriffsrechten auf sensible Unternehmensdaten.
Diese Attacke gegen HR‑Plattformen zeigt, wie gefährlich gefälschte Browser‑Erweiterungen für Personal‑ und Finanzabteilungen sind. Das kostenlose E‑Book erklärt, wie Angreifer Session‑Cookies kapern, welche Sofortmaßnahmen (GPO/MDM, Sitzungs‑Reset, Log‑Analysen) den Schaden begrenzen und welche Kontrollen Sie jetzt priorisieren sollten. Inklusive praxisnaher Checklisten für Workday, NetSuite und SAP SuccessFactors sowie Anleitungen für forensische Spurenanalyse. Jetzt kostenlosen Cyber‑Security‑Guide sichern
Die Erweiterungen tarnten sich geschickt: Sie funktionierten zunächst wie beworben, bevor sie ihre schädliche Nutzlast aktivierten.
So funktioniert der Angriff: Session-Hijacking und aktive Täuschung
Die technische Raffinesse der Schadsoftware beunruhigt Experten. Statt nur Tastatureingaben zu protokollieren, betreibt sie „bidirektionale Cookie-Injektion“.
Laut Analyst Kush Pandya von Socket exfiltrieren die Erweiterungen im 60-Sekunden-Takt Authentifizierungs-Cookies – insbesondere das __session-Token – an einen Command-and-Control-Server. Angreifer können so die aktive Sitzung des Opfers auf ihrem eigenen Rechner „klonen“. Sie loggen sich ein, ohne Passwort oder Zwei-Faktor-Authentifizierung (2FA) zu benötigen.
Noch bedrohlicher ist die defensive Fähigkeit der Malware. Sie manipuliert das DOM (Document Object Model) des Browsers, um das Opfer aktiv blind zu machen. Versucht ein Administrator, verdächtige Aktivitäten in den Sicherheitseinstellungen zu prüfen, greift die Erweiterung ein.
„Tool Access 11“ blockiert den Zugriff auf 44 administrative Seiten in Workday. „Data By Cloud 2“ erweitert die Liste auf 56 Seiten. Ruft ein Nutzer kritische Bereiche wie Passwortverwaltung, 2FA-Einstellungen oder Audit-Logs auf, löscht die Erweiterung den Seiteninhalt oder leitet um. Sie sperrt den Admin damit aus seinen eigenen Sicherheitskontrollen aus.
Warum HR-Plattformen im Fokus stehen
Die gezielte Ausrichtung auf Workday und Co. signalisiert einen Strategiewechsel bei Cyberkriminellen. Diese Systeme beherbergen die „Kronjuwelen“ eines Unternehmens: Sozialversicherungsnummern der Mitarbeiter, Bankdaten für die Gehaltsabrechnung und vertrauliche Finanzinformationen.
Mit einer kompromittierten Sitzung können Angreifer:
* Gehaltszahlungen auf Konten von Geldkuriere umleiten.
* Personenbezogene Daten (PII) für Identitätsdiebstahl abgreifen.
* Unternehmensstrukturen ausspähen, um gezieltere Phishing-Angriffe zu starten.
Da diese Plattformen webbasiert sind, sind sie besonders anfällig für Browser-Angriffe. Herkömmliche Endpoint-Security-Software hat oft Schwierigkeiten, die interne Logik einer Browser-Erweiterung zu prüfen. So operieren die vermeintlichen „Helferlein“ ungestört in der vertrauten Umgebung des Firmenbrowsers.
Das müssen Unternehmen jetzt tun
Google hat die identifizierten Erweiterungen zwar aus dem Chrome Web Store entfernt. Auf bereits installierten Geräten können sie jedoch weiter aktiv sein. IT-Sicherheitsteams sollten sofort handeln:
- Installierte Erweiterungen überprüfen: Scannen Sie alle Firmen-Browser nach den Entwickler-IDs „databycloud1104“ und „Software Access“.
- Erweiterungen zwangsentfernen: Nutzen Sie Group Policy Objects (GPO) oder Mobile Device Management (MDM)-Tools, um die spezifischen Erweiterungs-IDs (z.B.
makdmacamkifdldldlelollkkjnoiedgfür Data By Cloud 2) zu deinstallieren. - Zugangsdaten zurücksetzen: Das Entfernen der Erweiterung reicht nicht. Da Session-Cookies gestohlen wurden, müssen alle betroffenen Nutzer ihre aktiven Sitzungen beenden und Passwörter sofort ändern.
- Logs überprüfen: Untersuchen Sie die Zugriffsprotokolle von Workday und NetSuite auf Anmeldungen von ungewöhnlichen IP-Adressen oder zu unmöglichen Zeiten – ein Indiz für die Nutzung gestohlener Sessions.
Hintergrund: Der Trend zu Browser-basierten Angriffen
Der Vorfall ist Teil eines größeren Trends. Seit Ende 2025 nehmen „Malvertising“ und gefälschte Browser-Erweiterungen als Einfallstore für Wirtschaftsspionage deutlich zu.
Besonders bemerkenswert: Die „Software Access“-Erweiterung konnte Cookies nicht nur senden, sondern auch empfangen. Das deutet darauf hin, dass Angreifer Beweise manipulieren oder sich seitlich im Netzwerk bewegen konnten, indem sie authentifizierte Sitzungen anderer kompromittierter Accounts in den Browser des Opfers einschleusten.
Die Koordination der Kampagne – mehrere Erweiterungen mit identischer Codebasis, aber unterschiedlichem Branding – spricht für eine organisierte Gruppe. Der Fokus auf „Premium“-Features für spezifische Enterprise-Software zeigt, dass die Täter detaillierte Recherche betrieben haben, um Schwachstellen in den Workflows von HR-Abteilungen auszunutzen.
Ausblick: Das Ende der Browser-Freiheit?
Da Unternehmen kritische Infrastruktur zunehmend in SaaS-Plattformen (Software as a Service) verlagern, wird der Browser zum de-facto-Betriebssystem. Sicherheitsanalysten prognostizieren für 2026 einen starken Anstieg „erweiterungsbasierter“ Angriffe.
Die Reaktion der IT-Abteilungen dürfte klar sein: Sie werden zu „Allow-Listing“-Politiken übergehen. Nur noch vorab genehmigte Erweiterungen dürfen auf Firmengeräten installiert werden. Die Ära, in der Mitarbeiter ihre Arbeits-Browser frei mit ungeprüften Produktivitäts-Tools anreichern konnten, könnte ein abruptes Ende finden.
Die Botschaft für HR- und Finanzabteilungen ist eindeutig: Verspricht ein Browser-Tool „versteckte Funktionen“ in Ihrer Unternehmenssoftware freizuschalten, schaltet es mit hoher Wahrscheinlichkeit die Haustür Ihres Unternehmens für Angreifer auf.
PS: HR‑ und IT‑Verantwortliche – diese Kampagne zeigt: Sie müssen nicht sofort teure Experten einstellen, um Risiken zu senken. Unser gratis Leitfaden beschreibt kosteneffiziente Maßnahmen wie Allow‑Listing von Erweiterungen, automatisierte Entfernung per MDM/GPO und einfache Monitoring‑Regeln, mit denen Sie Ihre kritischen SaaS‑Zugänge schützen. Holen Sie sich die praxiserprobten Schritte für Ihren Incident‑Response‑Plan. Kostenloses Cyber‑Security‑E‑Book herunterladen
