** Eine koordinierte Kampagne nutzte scheinbar harmlose Tools, um Identitäten zu stehlen und Telegram-Sitzungen zu kapern. Betroffen sind rund 20.000 Nutzer.
Großangriff auf offizielle Chrome-Erweiterungen
Sicherheitsforscher haben einen groß angelegten Cyberangriff über den offiziellen Google Chrome Web Store aufgedeckt. Die Kampagne nutzte mehr als 100 bösartige Erweiterungen, um Nutzeridentitäten abzugreifen, Messaging-Sitzungen zu übernehmen und die Browsersicherheit zu untergraben. Die Entdeckung Mitte April zeigt eine bemerkenswert koordinierte Operation mit einer gemeinsamen Kommandozentrale.
Der aktuelle Vorfall zeigt, wie schnell Browser-Erweiterungen zum Einfallstor für Kriminelle werden können, die es auf Ihre privaten Zugangsdaten abgesehen haben. Dieser kostenlose Ratgeber zeigt Ihnen 5 einfache Schritte, mit denen Sie Ihr Smartphone und Ihre digitalen Konten sofort effektiv gegen Hacker absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken
Trotz fünf scheinbar unabhängiger Herausgebernamen – darunter Yana Project und GameGen – kommunizierten alle 108 identifizierten Add-ons mit derselben Backend-Infrastruktur. Dies ermöglichte es den Angreifern, gestohlene Informationen zu bündeln und den Missbrauch von einem zentralen Server aus zu steuern.
Getarnte Tools mit gefährlicher Doppelfunktion
Die Erweiterungen erreichten etwa 20.000 Installationen, indem sie sich als nützliche Helfer tarnten. Sie gaben sich aus als Telegram-Sidebar-Clients, Übersetzungswerkzeuge oder Video-Enhancer für YouTube und TikTok. Andere erschienen als Casino-Spiele wie Spielautomaten.
Viele boten tatsächlich die beworbene Funktion, um keinen Verdacht zu erregen. Im Hintergrund lief jedoch schädlicher Code, der Sitzungsinformationen abfing und beliebige Skripte in Webseiten einschleuste. Diese „Schläfer“-Taktik macht es automatisierten Prüfverfahren des Stores schwer, die Bedrohung früh zu erkennen.
Fokus auf Identitätsdiebstahl und Session-Hijacking
Besonders kritisch: 54 Erweiterungen zielten gezielt auf Google-Konten ab. Sie missbrauchten den OAuth2-Authentifizierungsfluss, um sensible Profildaten wie E-Mail-Adressen, Namen und Profilbilder zu sammeln. Diese Informationen ermöglichen Langzeit-Tracking und die Verknüpfung von Aktivitäten über verschiedene Dienste hinweg.
Eine Erweiterung namens Telegram Multi-account kaperte aktiv Web-Sitzungen des Messengerdienstes. Der schädliche Code extrahierte Authentifizierungs-Tokens aus dem lokalen Speicher des Browsers und übermittelte sie alle 15 Sekunden an die Server der Angreifer. Dies verschaffte dauerhaften Zugang zu den Telegram-Konten der Opfer – ohne Passwort oder Zwei-Faktor-Authentifizierung.
Da Hacker immer raffiniertere Wege finden, um Messaging-Sitzungen und Passwörter zu stehlen, wird ein moderner Schutz für Ihre Online-Privatsphäre unerlässlich. Erfahren Sie in diesem kostenlosen Report, wie Sie durch den Wechsel auf eine sichere Alternative Ihre Kommunikation in nur fünf Minuten wieder unter Ihre eigene Kontrolle bringen. Kostenlosen Ratgeber für sicheres Chatten herunterladen
Systematische Abschaltung von Sicherheitsmechanismen
Mindestens fünf Erweiterungen nutzten eine Browser-API, um essenzielle Sicherheitsheader von Websites wie YouTube und TikTok zu entfernen, bevor die Seite vollständig geladen war. Konkret wurden Schutzmechanismen wie Content Security Policy (CSP) und Cross-Origin Resource Sharing (CORS) deaktiviert.
Durch das Abschalten dieser Sicherheitsebenen konnten die Angreifer Glücksspiel-Overlays und intrusive Werbung direkt in die Oberfläche der populären Plattformen einspielen. Eine Erweiterung fungierte zudem als Proxy für Übersetzungsanfragen und leitete alle Textdaten der Nutzer über einen bösartigen Server, wo potenziell sensible Inhalte mitgelesen werden konnten.
Hintergrund: Verdacht auf Malware-as-a-Service aus Russland
Die Analyse des Quellcodes und der Infrastruktur deutet auf ein ausgeklügeltes Malware-as-a-Service (MaaS)-Modell hin. Kommentare im Code waren auf Russisch verfasst, was auf den geografischen Ursprung der Operation hindeutet. Der zentrale Backend-Server nutzte mehrere Subdomains für spezifische Funktionen wie Identitätsdiebstahl, Befehlsausführung und Monetarisierung.
Die Sicherheitsfirma Socket meldete die Verstöße an Google und beantragte die Entfernung aller 108 Erweiterungen. Berichten zufolge blieben viele der schädlichen Add-ons jedoch auch nach der Offenlegung zunächst noch zum Download verfügbar.
Was Nutzer jetzt tun sollten
Der Vorfall unterstreicht die anhaltende Verwundbarkeit offizieller Browser-Erweiterungsmärkte. Sicherheitsexperten raten Nutzern zu einer kritischen Haltung gegenüber Drittanbieter-Add-ons:
- Erweiterungen überprüfen: Entfernen Sie nicht mehr genutzte Add-ons oder solche von unbekannten Herausgebern.
- Bei Verdacht handeln: Nutzer, die von dieser Kampagne betroffen sein könnten, sollten alle Erweiterungen der genannten Herausgeber sofort deinstallieren.
- Telegram-Sitzungen beenden: Melden Sie sich über die Mobile App bei allen aktiven Telegram Web-Sitzungen ab. Dies macht die gestohlenen Session-Tokens ungültig.
Die Branche erwartet, dass Browser-Hersteller künftig auf fein granulare Berechtigungskontrollen und eine verbesserte Echtzeit-Überwachung des Erweiterungsverhaltens setzen werden, um zentral gesteuerte Angriffsinfrastrukturen früher zu entdecken.
