C
Security

Massenangriff im Chrome Web Store: 108 Erweiterungen stehlen Nutzerdaten

Sicherheitsforscher haben 108 bösartige Chrome-Erweiterungen entdeckt. Diese stehlen Google- und Telegram-Daten und nutzen legale Browser-APIs, um Sicherheitsmechanismen auszuhebeln.

CR
Codekiste Redaktion14. April 2026
#Security#Malware#Datenschutz#Chrome#Browser-Erweiterungen

Das Paradox der nützlichen Helfer

Browser-Erweiterungen sind der Dreh- und Angelpunkt unserer täglichen Arbeit im Netz. Sie blockieren Werbung, übersetzen Texte oder erweitern Messenger-Funktionen. Doch genau diese Abhängigkeit macht den Chrome Web Store zu einem lukrativen Ziel für Angreifer. Sicherheitsforscher von Socket haben nun eine massive Kampagne aufgedeckt, bei der 108 scheinbar legitime Chrome-Erweiterungen einer gemeinsamen Command-and-Control-Infrastruktur (C2) unterstanden. Rund 20.000 Nutzer sind betroffen.

Das Ausmaß und die methodische Raffinese dieser Kampagne sind bemerkenswert. Es handelt sich nicht um isolierte, schnell zusammengeschusterte Malware, sondern um ein industrielell anmutendes Netzwerk.

Fünf Gesichter, ein Hintermann

Die 108 Erweiterungen wurden unter fünf verschiedenen Herausgeber-Identitäten im Chrome Web Store veröffentlicht: Yana Project, GameGen, SideGames, Rodeo Games und InterAlt. Diese Aufteilung ist Teil der Taktik: Durch unterschiedliche Publisher-Profile wird die Wahrscheinlichkeit verringert, dass die Plattform bei der Entdeckung einer bösartigen Erweiterung gleich den gesamten Account sperrt. Die angebotene Funktionalität der Add-ons ist breit gefächert und zielt auf verschiedene Nutzergruppen ab:

  • Telegram Sidebar-Clients
  • Slot- und Keno-Spiele
  • YouTube- und TikTok-Optimierer
  • Übersetzungstools
  • Seiten-Dienstprogramme

Nach außen hin funktionieren diese Tools oft wie versprochen. Im Hintergrund jedoch läuft ein Schadcode ab, der die eigentlichen Absichten der Betreiber verdeckt.

Wie die Angriffe im Detail funktionieren

Die Analyse von Socket zeigt eine breite Palette an bösartigen Verhaltensweisen, die tief in die Browser-Architektur eingreifen. Besonders alarmierend ist der gezielte Missbrauch legitimer Browser-APIs.

1. Diebstahl von Google-Identitäten via OAuth2: 54 der 108 Erweiterungen nutzen die OAuth2-Authentifizierung, um die Identität des Google-Kontos zu stehlen. Sobald das Opfer auf den Login-Button klickt, schnappt der Schadcode E-Mail-Adresse, vollständigen Namen, Profilbild-URL und die Google-Konto-ID ab. Ein Beispiel dafür ist das Spiel „Formula Rush Racing Game“.

2. Universal-Backdoor beim Browser-Start: 45 Erweiterungen containieren eine universelle Hintertür. Sie öffnen beliebige URLs, sobald der Browser gestartet wird. Dies ermöglicht es den Angreifern, Nutzer auf Phishing-Seiten oder mit Malware infizierte Webseiten umzuleiten, ohne dass der Nutzer aktiv klicken muss.

3. Hijacking von Telegram-Web-Sessions: Einige der als Telegram-Clients getarnten Erweiterungen (wie „Telegram Multi-account“ oder „Web Client for Telegram - Teleside“) weisen eine hochgradig invasive Funktionalität auf. Sie extrahieren alle 15 Sekunden den user_auth-Token von Telegram Web und senden diesen an den Server der Angreifer. Noch brisanter: Sie können den localStorage des Browsers mit vom Angreifer kontrollierten Session-Daten überschreiben und so die aktive Telegram-Session des Opfers durch eine eigene ersetzen. Der Angreifer hat somit vollen Zugriff auf das Telegram-Konto.

4. Aushebeln von Sicherheits-Headern: Fünf Erweiterungen missbrauchen die declarativeNetRequest-API von Chrome. Diese API ist eigentlich dafür gedacht, Erweiterungen das Blockieren oder Ändern von Netzwerkanfragen zu erlauben. Die Malware nutzt sie jedoch, um kritische Sicherheits-Header wie Content Security Policy (CSP), X-Frame-Options und CORS (Cross-Origin Resource Sharing) von YouTube und TikTok zu entfernen, bevor die Seite im Browser gerendert wird. Ohne diese Schutzmechanismen können die Angreifer beliebiges JavaScript und Glücksspiel-Werbung direkt in die eigentlich sicheren Seiten injecten.

5. Proxying von Übersetzungsanfragen: Zusätzlich leiten einige Erweiterungen alle Übersetzungsanfragen der Nutzer über die Server der Angreifer. Dies erlaubt es, Kommunikationsinhalte mitzulesen oder zu manipulieren (Man-in-the-Middle).

Die Infrastruktur und die Urheber

Trotz der unterschiedlichen Publisher-Identitäten weisen alle 108 Erweiterungen auf denselben Backend-Server unter der IP-Adresse 144.126.135[.]238 hin. Dies belegt zweifelsfrei, dass eine einzige Gruppe hinter der Kampagne steckt. Wer genau dahintersteckt, ist derzeit unbekannt. Allerdings haben die Forscher bei der Analyse des Quellcodes russischsprachige Kommentare in mehreren Add-ons gefunden – ein Hinweis, der bei der weiteren Attribution helfen könnte.

Kritische Einordnung: Das Chrome-Ökosystem als Einfallstor

Dieser Vorfall offenbart einmal mehr die strukturelle Schwäche des Chrome Web Stores. Obwohl Google in den letzten Jahren die Überprüfungsprozesse für Erweiterungen verschärft hat, gelingt es Angreifern offensichtlich, Massen-Uploads von Malware durchzuführen. Das Problem liegt in der Architektur: Browser-Erweiterungen arbeiten im Kontext des Nutzers und haben Zugriff auf alle Daten, die durch den Browser fließen. APIs wie declarativeNetRequest sind mächtige Werkzeuge, die im falschen Kontext verheerenden Schaden anrichten können.

Die Taktik der Angreifer, sich als nützliche Helfer zu tarnen und gleichzeitig Sicherheitsmechanismen der besuchten Websites abzuschalten, zeigt ein neues Level an Raffinesse. Nutzer können sich nicht mehr darauf verlassen, dass eine Website (wie YouTube oder TikTok) sicher ist, wenn ihr Browser durch eine kompromittierte Erweiterung manipuliert wurde.

Was betroffene Nutzer jetzt tun müssen

Wenn Sie eine der oben genannten Erweiterungen oder ein Add-on der genannten Publisher installiert haben, sollten Sie sofort handeln:

  1. Erweiterung entfernen: Löschen Sie das Add-on umgehend aus Chrome.
  2. Telegram-Sessions beenden: Wenn Sie Telegram Web genutzt haben, loggen Sie sich über die mobile Telegram-App aus allen aktiven Web-Sessions aus.
  3. Passwörter ändern: Ändern Sie Ihr Google-Passwort und aktivieren Sie die Zwei-Faktor-Authentifizierung (2FA), falls noch nicht geschehen.

Die Lektion aus diesem Vorfall ist alt, aber aktueller denn je: Installieren Sie nur Erweiterungen, die Sie wirklich benötigen, und prüfen Sie die Bewertungen und Herausgeber kritisch. Jede installierte Erweiterung ist ein potenzielles Einfallstor in Ihr digitales Leben.

Quelle: The Hacker News

QUELLEN
The Hacker News
Pro-Feature

Melde dich an und werde Pro-Mitglied, um dieses Feature zu nutzen.

Anmelden
CR
Codekiste Redaktion

Automatisierte Content-Kuratierung für tech-news.

Kommentare

WEITERLESEN
Security

Cisco stopft kritische Lücken in ISE und Webex: RCE und Identitätsdiebstahl drohen

Security

IT-Forensik als Druckmittel: Wenn Ausländerbehörden Handys ausspionieren

Security

KI-Phishing und Datenklau: UAC-0247 greift ukrainische Kliniken an