Bösartige Google Chrome-Erweiterungen infiltrieren gezielt Unternehmenssoftware. Sicherheitsforscher warnen vor einer neuen Spionagekampagne, die auf Systeme wie SAP SuccessFactors, Workday und NetSuite abzielt. Die Schadsoftware stiehlt Zugangsdaten und blockiert aktiv Sicherheitsfunktionen.
Das Unternehmen Socket hat am Wochenende fünf schädliche Erweiterungen identifiziert. Sie tarnten sich als Produktivitäts-Tools mit Namen wie „Data By Cloud“ oder „Software Access“. Ihre Opfer: Personalverantwortliche, Finanzmanager und IT-Administratoren mit weitreichenden Zugriffsrechten.
Die Malware arbeitet raffiniert. Statt Passwörter abzufangen, stiehlt sie die aktiven Sitzungs-Cookies des Browsers. Mit diesen können sich Angreifer als legitime Nutzer ausgeben und erhalten vollen Zugriff auf sensible Personal- und Finanzdaten. Google hat die meisten Erweiterungen bereits aus dem Chrome Web Store entfernt.
Warum sind Browser-Erweiterungen für Unternehmen so gefährlich? Genau wie in diesem Vorfall greifen Angreifer aktive Sitzungs-Cookies ab und machen Admin-Seiten unzugänglich – eine Kombination, die Datendiebstahl besonders schwer erkennbar macht. Ein kostenloser Cyber-Security-Report erklärt, welche sofort wirksamen Kontrollen (Scans, GPO-/MDM-Richtlinien und Monitoring) Ihre IT implementieren sollte, um solche Erweiterungen schneller zu entdecken. Jetzt kostenlosen Cyber-Security-Report herunterladen
Die Malware macht Sicherheitsteams blind
Besonders heimtückisch ist ein eingebauter Abwehrmechanismus. Die Erweiterungen manipulieren das Document Object Model (DOM) des Browsers. Sie blockieren gezielt Administrations- und Sicherheitsseiten in den HR-Plattformen.
- Versucht ein Admin, Audit-Logs einzusehen oder Passwörter zu ändern, wird die Seite umgeleitet oder ihr Inhalt gelöscht.
- Eine Erweiterung namens „Tool Access 11“ blockierte den Zugriff auf 44 verschiedene administrative Seiten in Workday.
- „Data By Cloud 2“ erweiterte die Liste sogar auf 56 Seiten.
Dieser Trick verhindert, dass IT-Teams die Kompromittierung über die üblichen Wege entdecken und stoppen können.
Gezielter Angriff mit hohem Schadenspotenzial
Die Gesamtzahl von rund 2.500 Installationen klingt gering. Doch die Kampagne ist hochpräzise. Sie zielt nicht auf die Masse, sondern auf Schlüsselpersonal mit Zugang zu den wertvollsten Unternehmensdaten. Zwei der Erweiterungen verzeichneten jeweils über 1.000 Installationen.
IT-Abteilungen müssen jetzt handeln. Experten empfehlen diese Sofortmaßnahmen:
- Scannen: Alle Unternehmensbrowser auf die bösartigen Erweiterungen überprüfen, etwa nach der Entwickler-ID „databycloud1104“.
- Bereinigen: Verdächtige Erweiterungen zwangsweise über Group Policy Objects (GPO) oder Mobile Device Management (MDM) deinstallieren.
- Reagieren: Passwörter betroffener Konten zurücksetzen und auf Zugriffe von unbekannten IP-Adressen prüfen.
Browser werden zum kritischen Einfallstor
Dieser Vorfall markiert einen Paradigmenwechsel. Angriffe über Browser-Erweiterungen sind zwar bekannt. Die gezielte Ausrichtung auf hochspezialisierte Unternehmenssoftware in Kombination mit aktiver Abwehr ist jedoch neu.
Die Angreifer zeigen ein tiefes Verständnis interner Sicherheitsprozesse. Sie verlagern den Fokus von breiten Phishing-Kampagnen hin zu präzisen, schwer entdeckbaren Operationen. Die Grenze zwischen privater und geschäftlicher Browser-Nutzung verschwimmt – und wird zur Schwachstelle.
Die Zukunft wird weitere solche Angriffe bringen. Der Browser ist das zentrale Arbeitswerkzeug und damit ein lukratives Ziel. Unternehmen müssen Browser-Erweiterungen endlich als ernsthafte Bedrohung einstufen. Klare Nutzungsrichtlinien, technische Überwachung und permanente Mitarbeitersensibilisierung sind die neue Verteidigungslinie.
PS: IT-Verantwortliche sollten nicht darauf warten, bis Admin-Seiten permanent geblockt sind. Das kostenlose E‑Book fasst praxisnahe Schutzmaßnahmen zusammen – von schnellen Scans über GPO-/MDM-Setups bis zur Mitarbeiterschulung – und zeigt, wie Sie das Risiko browserbasierter Einfallstore deutlich reduzieren. Gratis-E-Book ‚Cyber Security Awareness Trends‘ anfordern
