Fünf bösartige Browser-Add-ons kapern Nutzerkonten bei SAP SuccessFactors, Workday und NetSuite.
Eine koordinierte Cyberangriffskampagne nutzt fünf schädliche Google Chrome-Erweiterungen, um Unternehmenssysteme zu infiltrieren. Die Add-ons zielen auf große Enterprise-Resource-Planning (ERP)– und Human-Resources (HR)-Plattformen ab, um Zugangsdaten zu stehlen und Nutzerkonten zu übernehmen. Über 2.300 Nutzer haben die Erweiterungen bereits installiert. Die Bedrohung ist besonders heikel, da sie aktive Sitzungen kapert und gleichzeitig die Gegenmaßnahmen der IT-Sicherheitsteams blockiert.
Getarnt als hilfreiche Produktivitäts-Tools
Die Kampagne setzt auf raffinierte Tarnung. Die Erweiterungen wurden im Chrome Web Store professionell beworben – mit dem Versprechen, die Produktivität zu steigern oder die Verwaltung mehrerer Konten zu vereinfachen. Einige gaben sogar vor, Sicherheitstools zu sein, die den Zugriff einschränken. Eine ironische Maske für ihr wahres Ziel: den Diebstahl sensibler Unternehmensdaten.
Unter den Namen „databycloud1104“ und „Software Access“ veröffentlicht, sammelten die fünf Add-ons Tausende Installationen. Zu ihnen zählen „DataByCloud Access“ und „Tool Access 11“. Forscher des Sicherheitsunternehmens Socket identifizierten sie als koordinierte Operation, basierend auf identischem Code und gemeinsamer Infrastruktur. Ihre gefälschten Datenschutzerklärungen behaupteten, keine Nutzerdaten zu sammeln.
Passend zum Thema Browser-basierter Angriffe: Warum viele Unternehmen auf Cyberangriffe nicht vorbereitet sind – und wie Sie das sofort ändern können. Das kostenlose E‑Book „Cyber Security Awareness Trends“ erklärt praxisnahe Schutzmaßnahmen gegen Session‑Hijacking, wie Sie Mitarbeiter vor schädlichen Erweiterungen schützen und welche technischen sowie organisatorischen Schritte IT‑Teams jetzt priorisieren sollten. Konkrete Checklisten für Incident Response inklusive. Jetzt kostenlosen Cyber‑Security‑Guide herunterladen
Dreifach-Angriff: Diebstahl, Manipulation, Sabotage
Die Schadsoftware verfolgt eine dreigleisige Strategie, um sich in Unternehmenssysteme einzunisten:
Kontinuierlicher Cookie-Diebstahl: Die Erweiterungen stehlen permanent Authentifizierungs-Cookies, insbesondere die „__session“-Tokens für Plattformen wie Workday und NetSuite. Diese werden minütlich an Server der Angreifer gesendet, um stets aktive Zugangsschlüssel zu besitzen.
Blockade von Sicherheitsmaßnahmen: Durch Manipulation der Webseiten-Struktur (DOM) werden Administratoren der Zugang zu kritischen Seiten verwehrt. Die Erweiterung „Data By Cloud 2“ blockiert den Zugriff auf 56 Seiten – darunter Formulare zum Passwort-Reset, die Verwaltung der Zwei-Faktor-Authentifizierung (2FA) und Sicherheitsprotokolle. Dies lähmt die Incident Response.
Fortgeschrittene Session-Übernahme: Die „Software Access“-Erweiterung geht noch weiter. Sie ermöglicht bidirektionale Cookie-Manipulation: Gestohlene Tokens werden nicht nur ausgespäht, sondern können auch in den Browser des Angreifers eingeschleust werden. So übernimmt er live die Sitzung des Opfers – ohne Passwort oder 2FA-Code.
Browser als unterschätztes Risiko
Diese Kombination aus dauerhaftem Zugriff und sabotierter Abwehr stellt Unternehmen vor ein großes Problem. Selbst bei Entdeckung des Eindringlings sind die üblichen Gegenmaßnahmen oft blockiert. Der Vorfall unterstreicht ein häufig unterschätztes Risiko: Der Browser als zentraler Angriffsvektor. Von Nutzern installierte Erweiterungen mit hohen Berechtigungen können traditionelle Sicherheitskontrollen umgehen.
Was Unternehmen jetzt tun müssen
Google hat die meisten der identifizierten Erweiterungen inzwischen entfernt. Die Gefahr bleibt jedoch für alle, die sie bereits installiert haben. Sicherheitsexperten raten zu sofortigen Schritten:
- Audit durchführen: Unternehmen sollten umgehend alle auf Unternehmensgeräten installierten Browser-Erweiterungen überprüfen.
- Erweiterungen entfernen: Die genannten schädlichen Add-ons müssen sofort deinstalliert werden.
- Passwörter zurücksetzen: Nach der Entfernung ist ein vollständiger Passwort-Reset für alle betroffenen Plattformen (Workday, NetSuite, SAP SuccessFactors) zwingend notwendig.
- Logs analysieren: Sicherheitsprotokolle sollten gründlich auf Anzeichen unbefugten Zugriffs von unbekannten IP-Adressen oder Geräten durchsucht werden.
Der Fall ist eine deutliche Warnung vor der sich ständig weiterentwickelnden Bedrohungslage. Angreifer finden immer raffiniertere Wege, Unternehmensnetzwerke zu infiltrieren – ausgerechnet über die Tools, die Mitarbeiter täglich nutzen.
PS: IT‑Sicherheit lässt sich oft deutlich stärken – ohne neue Großinvestitionen. Das kostenlose E‑Book „Cyber Security Awareness Trends“ zeigt, wie Sie mit klaren Prozessen, Schulungen und technischen Kontrollen Phishing, bösartige Extensions und Session‑Hijacking nachhaltig eindämmen. Praxisnahe Sofortmaßnahmen, Vorlagen für Awareness‑Trainings und eine Prioritätenliste für IT‑Teams helfen Ihnen, Schwachstellen schnell zu schließen. Jetzt kostenlosen Cyber‑Security‑Guide herunterladen
