Chrome-Extensions kompromittiert
Author
Maren Keller, Do, 9. Jan. 2025
 in Cybersecurity

Chrome-Extensions kompromittiert

Cyberkriminelle kapern Add-ons mit mehr als zwei Millionen Nutzern

Eine großangelegte Angriffskampagne hat mindestens 25 Chrome-Extensions kompromittiert und mehr als 2,2 Millionen Nutzer ins Visier genommen. Die Angreifer zielten auf wertvolle Daten und Zugänge zu Geschäftskonten.

Welche Add-ons betroffen sind, wie die Angreifer vorgegangen sind und wie Sie sich schützen können, erfahren Sie bei uns.

Angriff auf Chrome-Nutzer

Eine umfangreiche Angriffskampagne durch cyberkriminelle Hacker hat mindestens 25 Chrome-Extensions kompromittiert. Diese Erweiterungen hatten zusammen mehr als 2,2 Millionen Nutzer. Betroffen war das Unternehmen Cyberhaven, dass seine Nutzer am zweiten Weihnachtsfeiertag des vergangenen Jahres über eine kompromittierte Version seiner Browser-Erweiterung informierte.

Cyberhaven hatte eine Chrome-Extension veröffentlicht, das zur Prävention gegen Datenverlust eingesetzt werden kann. Weihnachten hatte das Unternehmen eine manipulierte Version im Chrome Web Store entdeckt. Diese Version war in der Lage, Nutzerdaten wie Cookies, aktive Sessions und Zugangstokens bestimmter Websites zu stehlen.

Besonders tückisch: Die manipulierten Erweiterungen wirkten äußerlich unverändert und nutzten gängige Sicherheitsmechanismen aus, um Nutzer in falscher Sicherheit zu wiegen.

Chrome-Extensions kompromittiert: Cyberkriminalität, Hackerangriffe, Chrome. Bild: Pexels/Christina Morillo

Im aktuellen Fall hatten es die Angreifer auf sensible Firmendaten abgesehen. Bild: Pexels/Christina Morillo

Chrome-Extensions kompromittiert – der Angriff

Der Ursprung des Angriffs liegt in einer Phishing-E-Mail. Die Angreifer sendeten diese Phishing-E-Mail am 24. Dezember 2024 an die öffentliche Support-Adresse von Cyberhaven. Ein Mitarbeiter folgte einem Link in der E-Mail und landete in einem gefälschten Google-Autorisierungsflow. Hier zeigt sich wieder einmal, wie wichtig der Faktor Mensch für die IT-Sicherheit ist. Regelmäßige IT-Sicherheitsschulungen sind unbedingt notwendig, um Mitarbeiter zu sensibilisieren.

Neben der Unachtsamkeit des Mitarbeiters, der dem gefährlichen Link ohne Prüfung vertraute, hatten die Angreifer aber auch Glück. Denn trotz aktivierter Zwei-Faktor-Authentifizierung (2FA) gelang es ihnen, die notwendigen Berechtigungen zu erhalten, da keine zusätzliche Code-Abfrage erfolgte.

Immerhin: die Google-Zugangsdaten des Mitarbeiters wurden nicht kompromittiert. Allerdings erhielt eine als „Privacy Policy Extension“ getarnte Malware weitreichende Berechtigungen, mit denen die Angreifer eine modifizierte und gefährliche Version der Cyberhaven-Erweiterung hochladen konnten.

Facebook-Werbekonten im Visier der Angreifer

Ein Fokus der kriminellen Hacker lag auf Facebook-Werbekonten. Die eingeschleuste Schadsoftware konnte Zugriffstokens, Nutzer-IDs und sensible Geschäftsdaten auslesen. Diese Informationen wurden an Command-and-Control-Server weitergeleitet und für den Missbrauch von Werbekonten genutzt.

Einige der betroffenen Chrome-Erweiterungen sind:

  • Visual Effects for Google Meet: bekannt für Video-Effekte in Meetings
  • Reader Mode: beliebte Erweiterung zur Verbesserung der Lesbarkeit von Webseiten
  • Email Hunter: Tool zur E-Mail-Adressensuche
  • Bard AI Chat: KI-basierte Chat-Erweiterung
  • Rewards Search Automator: Tool zur Optimierung von Belohnungen durch Suchvorgänge

Laut einer Untersuchung von Secure Annex, die über Cybernews veröffentlicht wurde, deutet vieles darauf hin, dass die Kampagne bereits seit mehr als einem Jahr läuft. Der identische Schadcode in mindestens acht betroffenen Erweiterungen legt Verbindungen zur Domain sclpfybn[.]com nahe.

Eine der kompromittierten Erweiterungen wurde zuletzt am 5. April 2023 aktualisiert – ein Hinweis auf die Langfristigkeit des Angriffs. Diese Entdeckung zeigt, wie professionell und gezielt die Angriffe vorbereitet wurden.

Chrome-Extensions kompromittiert: Cyberkriminalität, Hackerangriffe, Chrome. Bild: Pexels/LinkedIn Sales Navigator

Wenn Sie sich fragen, warum Ihre Extensions nicht mehr funktionieren, könnte es sein, dass die Add-ons entfernt wurden. Bild: Pexels/LinkedIn Sales Navigator

Google reagiert – aktuelle Entwicklungen

Google hat inzwischen reagiert und mehrere Erweiterungen aus dem Chrome Web Store entfernt. Entwickler berichten auf Reddit, dass ihre Add-ons ohne Vorwarnung offline genommen wurden, vermutlich um weiteren Schaden zu verhindern.

Wenn Sie Erweiterungen aus dem Web Store nutzen, seien Sie sich stets der Gefahr bewusst, dass Kriminellen sie hacken und manipulieren können. Tun Sie unbedingt folgendes:

  • Prüfen Sie installierte Erweiterungen und entfernen Sie Add-ons, die Ihnen nicht bekannt sind.
  • Aktualisieren Sie die Add-on-Versionen. Achten Sie bei der Cyberhaven-Erweiterung auf die aktuelle Version 24.10.5 oder neuer.
  • Ändern Sie Ihre Passwörter vor allem für Accounts, die über kompromittierte Erweiterungen genutzt wurden.
  • Scannen Sie Ihre Systeme und verwenden Sie stets eine aktuelle Antiviren-Software, um weitere Malware zu entdecken.

Gern hilft PC-SPEZIALIST Ihnen mit einem Sicherheitscheck oder einer Infrastrukturanalyse weiter, um mögliche Schwachstellen aufzudecken. Nehmen Sie Kontakt zu uns auf.

Chrome-Extensions kompromittiert? Tipps zum Schutz

Angriffe auf Browser-Erweiterungen sind längst keine Seltenheit, werden aber zunehmend komplexer. Deshalb ist es wichtig, dass Firmen wie private Nutzer Vorsorgemaßnahmen ergreifen, um sensible Daten zu schützen. Denn um diese geht es den Angreifern. Wir haben Maßnahmen für Sie zusammengefasst, die dabei helfen, Ihre IT-Sicherheit zu erhöhen:

Grundsätzlich gilt: Installieren Sie Erweiterungen nur aus offiziellen Web Stores – auch wenn das keine hundertprozentige Sicherheit darstellt, wie wir an dem aktuellen Fall sehen. Die Gefahr, an manipulierte Add-ons zu gelangen und sich auf diesem Wege Malware auf den Rechner zu holen, ist aber bei zweifelhaften Downloadquellen wesentlich höher.

  • Überprüfen Sie vor dem Download die Bewertungen und Entwicklerangaben im Chrome Web Store.
  • Aktualisieren Sie Ihren Browser und die Erweiterungen regelmäßig, um Sicherheitslücken zu schließen.
  • Prüfen Sie die Erweiterungsberechtigungen prüfen und deinstallieren Sie Add-ons mit unnötigen Rechten.
  • Nutzen Sie aktuelle Schutz-Software. Tools wie Endpoint-Security-Lösungen können schädliche Prozesse blockieren.
  • Aktivieren Sie, wann immer möglich, die Zwei-Faktor-Authentifizierung.

Übrigens: Ihre installierten Erweiterungen finden Sie oben rechts im Chrome-Browser neben der URL-Zeile, indem Sie auf das Puzzleteil klicken. Scrollen Sie dann ganz nach untern zum Zahnrad, um die Erweiterungen zu verwalten. Alternativ gehen Sie einfach auf chrome://extensions/

Unsere IT-Experten helfen Ihnen bei der Sicherung Ihrer Accounts und Netzwerke. Wenden Sie sich an PC-SPEZIALIST vor Ort, wenn Sie Unterstützung bei der Einrichtung von Sicherheitslösungen, dem Schutz Ihrer Unternehmensdaten und der Analyse von Sicherheitsvorfällen benötigen.

_______________________________________________

Quellen: it-daily, cybernews, Pexels/Vitaly Gariev (Headerbild)

, ,

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.

0 Kommentare

    Das könnte Sie auch interessieren