{"id":74052,"date":"2025-01-09T08:00:14","date_gmt":"2025-01-09T07:00:14","guid":{"rendered":"https:\/\/www.pcspezialist.de\/blog\/?p=74052"},"modified":"2025-01-07T08:23:31","modified_gmt":"2025-01-07T07:23:31","slug":"chrome-extensions-kompromittiert","status":"publish","type":"post","link":"https:\/\/pcspezialist.de\/blog\/2025\/01\/09\/chrome-extensions-kompromittiert\/","title":{"rendered":"Chrome-Extensions kompromittiert ## Cyberkriminelle kapern Add-ons mit mehr als zwei Millionen Nutzern"},"content":{"rendered":"

Eine gro\u00dfangelegte Angriffskampagne hat mindestens 25 Chrome-Extensions kompromittiert und mehr als 2,2 Millionen Nutzer ins Visier genommen. Die Angreifer zielten auf wertvolle Daten und Zug\u00e4nge zu Gesch\u00e4ftskonten.<\/strong><\/p>\n

Welche Add-ons betroffen sind, wie die Angreifer vorgegangen sind und wie Sie sich sch\u00fctzen k\u00f6nnen, erfahren Sie bei uns.<\/p>\n

<\/p>\n

\n

Unser Beitrag \u00fcber kompromittierte Chrome-Extensions im \u00dcberblick:\u00a0<\/strong><\/p>\n

    \n
  1. Angriff auf Chrome-Nutzer<\/a><\/li>\n
  2. Chrome-Extensions kompromittiert \u2013 der Angriff<\/a><\/li>\n
  3. Facebook-Werbekonten im Visier der Angreifer<\/a><\/li>\n
  4. Google reagiert \u2013 aktuelle Entwicklungen<\/a><\/li>\n
  5. Chrome-Extensions kompromittiert? Tipps zum Schutz<\/a><\/li>\n<\/ol>\n<\/div>\n

    Angriff auf Chrome-Nutzer<\/h2>\n

    Eine umfangreiche Angriffskampagne durch cyberkriminelle Hacker<\/a> hat mindestens 25 Chrome-Extensions kompromittiert<\/strong>. Diese Erweiterungen hatten zusammen mehr als 2,2 Millionen Nutzer<\/strong>. Betroffen war das Unternehmen Cyberhaven, dass seine Nutzer am zweiten Weihnachtsfeiertag des vergangenen Jahres \u00fcber eine kompromittierte Version seiner Browser-Erweiterung informierte.<\/p>\n

    Cyberhaven hatte eine Chrome-Extension ver\u00f6ffentlicht, das zur Pr\u00e4vention gegen Datenverlust eingesetzt werden kann. Weihnachten hatte das Unternehmen eine manipulierte Version im Chrome Web Store entdeckt. Diese Version war in der Lage, Nutzerdaten wie Cookies, aktive Sessions und Zugangstokens bestimmter Websites zu stehlen.<\/p>\n

    Besonders t\u00fcckisch: Die manipulierten Erweiterungen wirkten \u00e4u\u00dferlich unver\u00e4ndert und nutzten g\u00e4ngige Sicherheitsmechanismen aus, um Nutzer in falscher Sicherheit zu wiegen.<\/p>\n

    \"Chrome-Extensions

    Im aktuellen Fall hatten es die Angreifer auf sensible Firmendaten abgesehen. Bild: Pexels\/Christina Morillo<\/a><\/p><\/div>\n

    Chrome-Extensions kompromittiert \u2013 der Angriff<\/h2>\n

    Der Ursprung des Angriffs liegt in einer Phishing-E-Mail<\/a>. Die Angreifer sendeten diese Phishing-E-Mail<\/strong> am 24. Dezember 2024 an die \u00f6ffentliche Support-Adresse von Cyberhaven<\/strong>. Ein Mitarbeiter folgte einem Link in der E-Mail und landete in einem gef\u00e4lschten Google-Autorisierungsflow. Hier zeigt sich wieder einmal, wie wichtig der Faktor Mensch f\u00fcr die IT-Sicherheit<\/a> ist. Regelm\u00e4\u00dfige IT-Sicherheitsschulungen<\/a> sind unbedingt notwendig, um Mitarbeiter zu sensibilisieren.<\/p>\n

    Neben der Unachtsamkeit des Mitarbeiters, der dem gef\u00e4hrlichen Link<\/strong> ohne Pr\u00fcfung vertraute, hatten die Angreifer aber auch Gl\u00fcck. Denn trotz aktivierter Zwei-Faktor-Authentifizierung (2FA)<\/a> gelang es ihnen, die notwendigen Berechtigungen zu erhalten, da keine zus\u00e4tzliche Code-Abfrage erfolgte.<\/p>\n

    Immerhin: die Google-Zugangsdaten des Mitarbeiters wurden nicht kompromittiert. Allerdings erhielt eine als \u201ePrivacy Policy Extension<\/strong>\u201c getarnte Malware weitreichende Berechtigungen, mit denen die Angreifer eine modifizierte und gef\u00e4hrliche Version der Cyberhaven-Erweiterung hochladen konnten.<\/p>\n

    Facebook-Werbekonten im Visier der Angreifer<\/h2>\n

    Ein Fokus der kriminellen Hacker lag auf Facebook-Werbekonten<\/strong>. Die eingeschleuste Schadsoftware konnte Zugriffstokens, Nutzer-IDs und sensible Gesch\u00e4ftsdaten<\/strong> auslesen. Diese Informationen wurden an Command-and-Control-Server<\/a> weitergeleitet und f\u00fcr den Missbrauch von Werbekonten genutzt.<\/p>\n

    Einige der betroffenen Chrome-Erweiterungen<\/strong> sind:<\/p>\n