Schädliche Versionen von zahlreichen Chrome-Erweiterungen in Umlauf
Zahlreiche Entwickler von Erweiterungen für den Google Chrome Browser wurden über Weihnachten Opfer eines Phishing-Angriffes – mit drastischen Konsequenzen: Unbewusst gewährten sie den Tätern Zugriff auf den im Chrome Web Store hinterlegten Quellcode ihrer Anwendungen. Die Cyberkriminellen nutzten das, um neue, schädliche Versionen der Chrome-Extensions zu hinterlegen. So erhielten sie Zugriff auf sensible Nutzerdaten auf rund 2,6 Millionen Geräten.
Anzeige
Insgesamt sind laut einer Analyse der IT-Sicherheitsberatung Annex mindestens 29 Chrome-Erweiterungen betroffen. Die Tech-Nachrichtenseite Ars Technica spricht sogar von 33 betroffenen Erweiterungen. Jedoch ist es durchaus möglich, diese Zahlen (Stand: 3. Januar 2025) nochmal nach oben korrigieren – angesichts des Ausmaßes und der Dauer der Phishing-Kampagne, welche dahintersteckt. Als Sicherheitsexperten einem erfolgreichen Phishing-Angriff auf einen Entwickler der Extension “Cyberhaven” auf den Grund gingen, kamen ArsTechnica und Annex zufolge auch zahlreiche weitere Kompromittierungen von Chrome-Extensions ans Licht.
Offenbar Login-Daten im Visier
Wie Cyberhaven mitteilt, versuchten die Angreifer, Login-Daten für Social-Media-Accounts und KI-Anwendungen abzugreifen. Laut der IT-Sicherheitsberatung Annex soll die Cyberhaven-Version der Angreifer auf Login-Daten für ChatGPT abgezielt haben, offenbar aber erfolglos. Cyberhaven rät Nutzern dringend, die Passwörter aller Facebook-Accounts, welche auf betroffenen Geräten genutzt wurden, zu ändern. Zudem sollten Nutzer prüfen, ob die schädliche Version noch verwendet wird und diese gegebenenfalls aktualisieren.
Im Fall von Cyberhaven fiel ein Mitarbeiter auf eine falsche Mail rein, in der sich die Angreifer als Google-Vertreter ausgaben. In der Folge ermöglichte er es den Tätern unbewusst, eine neue, schädliche Version der Cyberhaven-Erweiterung im Chrome Web Store zu hinterlegen. Die Cyberhaven-Erweiterung soll ihre Nutzer davor schützen, unabsichtlich sensible Daten in E-Mails oder auf Websites preiszugeben.
Lesen Sie auch
Schädliche Version automatisch runtergeladen
Bei der schädlichen Variante handelt es sich um Cyberhaven-Version 24.10.4, welche laut einem Blogpost von Cyberhaven vom 25. Dezember um 1:32 Uhr morgens bis zum 26. Dezember um 2:50 Uhr morgens im Chrome Web Store verfügbar war. Wer die Erweiterung in diesem Zeitfenster über seinen Chrome-Browser ausgeführt hat, hat auch die schädliche Version automatisch heruntergeladen. Nach Bekanntwerden des Vorfalls reagierte das Team von Cyberhaven und brachte Version 24.10.5 an den Start, bald darauf Version 24.10.6.
Leider war Cyberhaven nur ein kleiner Teil einer groß angelegten Phishing-Attacke auf die Entwickler von Chrome-Erweiterungen, welche bis mindestens April 2023 zurückreicht. Eine nähere Untersuchung durch Annex offenbarte einen Zusammenhang zu mindestens 28 weiteren Chrome-Extensions von denen ebenfalls schädliche Versionen zeitweise im Umlauf waren oder noch sind, und stellt auch eine Übersicht bereit. Teilweise wurden die betroffenen schädlichen Erweiterungen wieder auf sichere Versionen aktualisiert oder komplett aus dem Chrome Web Store entfernt, teilweise sind sie aber noch unverändert in ihrer schädlichen Version im Umlauf.
Nutzer der betroffenen Erweiterungen sollten jetzt dringend prüfen, ob sie die schädliche Version im Einsatz haben und gegebenenfalls auf eine harmlose, aktuelle Version aktualisieren oder die Erweiterungen ganz zu entfernen. Zudem ist die Änderung möglicherweise betroffener Passwörter oder anderer Zugangsdaten dringend zu empfehlen.
(nen)
