Gefährliche Chrome-Erweiterungen aufgetaucht

Erst kürzlich sind zahlreiche Chrome-Erweiterungen in die Schlagzeilen geraten. Eine große Anzahl von Entwicklern wurde über die Weihnachtszeit zum Ziel eines Phishing-Angriffs. Unfreiwillig gaben sie den Tätern Zugriff auf den Quellcode ihrer Anwendungen im Chrome Web Store. In der Folge wurden schädliche Versionen der Extensions eingeführt. Die Angreifer konnten auf sensible Nutzerdaten von etwa 2,6 Millionen Geräten zugreifen.



Zahl der betroffenen Erweiterungen steht in der Luft


Analysen der IT-Sicherheitsberatung Annex haben ergeben, dass mindestens 29 Chrome-Erweiterungen betroffen sind. Die Tech-Nachrichtenseite Ars Technica berichtet jedoch von 33 kompromittierten Erweiterungen. Die tatsächliche Zahl könnte sogar höher ausfallen – das Ausmaß der Phishing-Kampagne ist enorm. Sicherheitsexperten stießen bei der Untersuchung eines erfolgreichen Angriffs auf die Erweiterung "Cyberhaven" auf zahlreiche weitere Kompromittierungen.



Ziel der Angreifer entblößt


Die Angreifer hatten es ganz klar auf Login-Daten abgesehen. Cyberhaven musste feststellen, dass die Täter versuchten, Daten für Social-Media-Konten und KI-Anwendungen zu stehlen. Eine spezifische Zielrichtung war die Version der Cyberhaven-Erweiterung – eine Targetierung auf ChatGPT schien jedoch gescheitert zu sein. Cyberhaven warnt eindringlich die Passwörter aller betroffenen Facebook-Accounts umgehend zu ändern. Zudem sollten Nutzer klären ob sie noch die schädliche Version der Erweiterung nutzen.



Angreifer täuschen Entwickler erfolgreich


In einem bekannten Vorfall fiel ein Mitarbeiter von Cyberhaven auf eine gefälschte E-Mail herein. Die Angreifer gaben sich als Google-Vertreter aus. In der Folge ermöglichte der Mitarbeiter den Kriminellen unbewusst, eine bösartige Version der Cyberhaven-Erweiterung im Chrome Web Store zu hinterlegen. Diese Erweiterung sollte Nutzer vor ungewolltem Preisgeben sensibler Daten schützen.



Automatischer Download der schädlichen Version


Die gefährliche Variante ist Cyberhaven-Version 24.10.4. Laut einem Blogpost von Cyberhaven war diese zwischen dem 25. Dezember, 1:32 Uhr und dem 26. Dezember, 2:50 Uhr, verfügbar. Wer in diesem Zeitraum die Erweiterung nutzte lud automatisch die schädliche Version herunter. Das Team von Cyberhaven reagierte daraufhin schnell und brachte sofort Version 24.10.5 und kurz darauf Version 24.10.6 heraus.



Umfassende Phishing-Kampagne


Bedauerlicherweise war Cyberhaven nur ein kleiner Teil einer riesigen Phishing-Aktion gegen Entwickler von Chrome-Erweiterungen. Diese Aktion nimmt ihren Ursprung bis mindestens April 2023. Die Untersuchungen von Annex zeigten einen Zusammenhang zu mindestens 28 weiteren Chrome-Extensions auf. Einige dieser schädlichen Erweiterungen sind längst auf sichere Versionen aktualisiert worden oder wurden vollständig entfernt. Dennoch gibt es weiterhin gefährliche Varianten die im Umlauf sind.



Dringende Handlung erforderlich


Nutzer der betroffenen Erweiterungen sind aufgefordert umgehend zu prüfen ob sie die schädliche Version verwenden. Eine Aktualisierung auf eine harmlose aktuelle Version oder die vollständige Entfernung der Erweiterungen wird dringend empfohlen. Auch die Änderung möglicherweise betroffener Passwörter und Zugangsdaten sollte nun höchste Priorität haben.






Kommentare


Anzeige