Ungefähr zehn beschädigte Erweiterungen für insgesamt fast eine Million Installationen: Das Jahr hat gut begonnen!

Gehackte Chrome-Erweiterungen gefährden die Daten Hunderttausender Internetnutzer. Wie reagieren? © janews/Shutterstock

Ah! Die Feierlichkeiten zum Jahresende sind für viele eine Zeit der Entspannung … aber auch eine Zeit, die Cyberangriffen förderlich ist. Als die Mehrheit der Internetnutzer das Ende des Jahres 2024 feierten, nutzten Hacker diese Flaute, um eine Reihe koordinierter Angriffe zu inszenieren, mehrere beliebte Chrome-Erweiterungen zu kapern und die sensiblen Daten Hunderttausender Nutzer preiszugeben. Der Ursprung all dieses Chaos war eine banale gezielte Phishing-Kampagne, die es den Angreifern ermöglichte, auf ein Administratorkonto zuzugreifen und infizierte Versionen dieser Plugins im Chrome Web Store zu veröffentlichen.

Ein perfekt ausgeführter Phishing-Versuch

Am Fuße des Weihnachtsbaums gibt es Überraschungsgeschenke, auf die wir gerne verzichtet hätten, und Cyberhaven kann das bestätigen. Am vergangenen Freitag bestätigte das auf die Verhinderung von Datendiebstahl spezialisierte Unternehmen, dass es am Abend des 24. Dezember Opfer eines Cyberangriffs geworden war, der am 25. Dezember zur Veröffentlichung einer beschädigten Version seiner Erweiterung im Chrome Web Store führte. Die Sicherheitsteams brauchten fast einen zusätzlichen Tag, um den Angriff zu erkennen, und weitere 60 Minuten, um das schädliche Plugin (v24.10.4) durch eine fehlerfreie Version (v24.10.5) zu ersetzen. Im Morgengrauen des 26. war alles wieder normal, oder fast.

Wenn sich Cyberhaven Zeit ließ, die Einzelheiten dieses Angriffs offiziell bekannt zu geben, wissen wir jetzt, was passiert ist. Ganz klassisch wäre ein Mitarbeiter auf einen besonders geschickten Phishing-Angriff hereingefallen. Den Hackern gelang es dann, seine Zugangsdaten für die Chrome Web Store-Verbindung zu stehlen, um eine bösartige Version des offiziellen Plugins zu veröffentlichen. Nach Angaben des Unternehmens wären nur Chromium-Browser gefährdet, die für die automatische Aktualisierung von Erweiterungen konfiguriert sind.

Das könnte Sie auch interessieren:  Sie können Ihr neues Meta Quest-Headset nicht verwenden? Seien Sie versichert, Meta arbeitet an einer Lösung…

Allerdings sind die Konsequenzen für die Datensicherheit nicht minder bedeutsam. Laut John Tuckner, einem Forscher bei Secure Annex, enthielt die beschädigte Erweiterung, die mehr als 400.000 Installationen aufweist, Code, der in der Lage war, authentifizierte Sitzungen und Cookies auf einen Remote-Server zu exfiltrieren. Unter den Kunden von Cyberhaven, die wahrscheinlich das Plugin nutzen, finden wir jedoch große Namen wie Snowflake, Motorola, Canon und sogar Reddit.

Der Cyberhaven-Angriff dauerte 25 Stunden, bevor offiziell ein Patch bereitgestellt wurde © Pungu x / Shutterstock
Der Cyberhaven-Angriff dauerte 25 Stunden, bevor offiziell ein Patch bereitgestellt wurde © Pungu x / Shutterstock

Cyberhaven: der Baum, der den Wald verbarg

Nach dieser Entdeckung ergriff Jaime Blasco, ein weiterer Forscher, diesmal bei Nudge Security, die Initiative, die Untersuchung auf der Grundlage der auf dem Piratenserver registrierten IP-Adressen und Domänen fortzusetzen. Es stellte sich heraus, dass der Angriff auf Cyberhaven kein Einzelfall war, sondern Teil einer Reihe koordinierter Hacks. Blasco konnte tatsächlich feststellen, dass derselbe Schadcode auch in vier andere beliebte Erweiterungen eingeschleust worden war, nämlich Internxt VPN (10.000 Installationen, gepatcht am 29. Dezember), VPNCity (50.000, aus dem Store entfernt) und Uvoice (40.000, gepatcht im Dezember). 31) und ParrotTalks (40.000, aus dem Store entfernt).

Als Sahnehäubchen entdeckte Blasco auch andere Domains, die auf potenzielle Opfer verwiesen, während Tuckner bestätigte, mehrere andere Erweiterungen identifiziert zu haben, die denselben Schadcode enthielten und zum 31. Dezember noch aktiv waren, darunter Bookmark Favicon Changer, Castorus und Search Copilot AI Assistant für Chrome , VidHelper oder YesCaptcha-Assistent. Insgesamt hat der zusätzliche Satz dieser kompromittierten Module bis heute mehr als 540.000 Installationen angehäuft.

Wie schützt man sich vor dieser Art von Hacking?

Wenn Sie eine oder mehrere dieser kompromittierten Erweiterungen verwenden, überprüfen Sie zunächst, ob sie nach dem 31. Dezember aktualisiert wurden. Andernfalls deinstallieren Sie sie sofort. Setzen Sie außerdem Ihre Browsereinstellungen zurück, löschen Sie Cookies, ändern Sie alle Ihre Passwörter, konfigurieren Sie 2FA und entscheiden Sie sich nach Möglichkeit für Passkeys. Um Ihnen zu helfen, sollten Sie die Verwendung eines sicheren Passwort-Managers in Betracht ziehen.

Das könnte Sie auch interessieren:  TikTok-Verbot in den USA rückt näher: Vermeidungsmöglichkeiten für die Plattform?

Begrenzen Sie im Allgemeinen die Anzahl der in Ihrem Browser installierten Erweiterungen so weit wie möglich und bevorzugen Sie solche von zuverlässigen und reaktionsschnellen Entwicklern. Überprüfen Sie regelmäßig die jeweils erteilten Berechtigungen: Ein Captcha-Prüfer benötigt beispielsweise keinen Zugriff auf Ihr Mikrofon, Ihre Kamera oder Ihren GPS-Standort. Überwachen Sie abschließend Sicherheitswarnungen und erwägen Sie die Installation eines seriösen Antivirenprogramms, um im Falle eines neuen Problems schnell reagieren zu können.

Quellen: Cyberhaven, Sicherer Anhang, Jaime Blasco über X.com