Cybersicherheitsforscher haben eine neue Kampagne entdeckt, bei der eine Gruppe von 108 **Google Chrome**-Erweiterungen mit derselben Command-and-Control (C2)-Infrastruktur kommuniziert. Ziel der Erweiterungen ist es, Benutzerdaten zu sammeln und Browser-Missbrauch durch das Einfügen von Anzeigen und beliebigen JavaScript-Codes in besuchte Webseiten zu ermöglichen. Laut **Socket** werden die Erweiterungen (vollständige Liste [hier](https://socket.dev/blog/108-chrome-ext-linked-to-data-exfil-session-theft-shared-c2#:~:text=Chrome%20Extension%20IDs)) unter fünf verschiedenen Publisher-Identitäten veröffentlicht – **Yana Project**, **GameGen**, **SideGames**, **Rodeo Games** und **InterAlt**. Gemeinsam haben sie etwa 20.000 Installationen im **Chrome Web Store** angesammelt. "Alle 108 leiten gestohlene Anmeldedaten, Benutzeridentitäten und Browserdaten an Server weiter, die vom selben Betreiber kontrolliert werden", sagte der Sicherheitsforscher **Kush Pandya** [in einer Analyse](https://socket.dev/blog/108-chrome-ext-linked-to-data-exfil-session-theft-shared-c2). Davon stehlen 54 Add-ons **Google**-Kontoidentitäten über OAuth2, 45 Erweiterungen enthalten eine universelle Backdoor, die beim Starten des Browsers beliebige URLs öffnet, und die restlichen führen eine Vielzahl bösartiger Aktionen aus: * **Telegram Web**-Sitzungen werden alle 15 Sekunden exfiltriert. * Sicherheits-Header von **YouTube** und **TikTok** (d. h. Content Security Policy, X-Frame-Options und CORS) werden entfernt und Glücksspiel-Overlays und Anzeigen injiziert. * Content-Skripte werden in jede vom Benutzer besuchte Seite injiziert. * Alle Übersetzungsanfragen werden über den Server des Bedrohungsakteurs geleitet.  ### Verschleierung als legitime Werkzeuge Um legitim zu erscheinen, geben sich die identifizierten Erweiterungen als **Telegram**-Sidebar-Clients, Spielautomaten- und Keno-Spiele, **YouTube**- und **TikTok**-Verbesserer, Textübersetzungstools und Seiten-Utilities aus. Die beworbene Funktionalität ist vielfältig und zielt darauf ab, ein breites Spektrum abzudecken, während sie denselben Backend teilt. Der im Hintergrund laufende bösartige Code erfasst jedoch Sitzungsinformationen, injiziert beliebige Skripte und öffnet URLs nach Wahl des Angreifers.  ### Beispiele für bösartige Erweiterungen Einige der identifizierten Erweiterungen sind: * **Telegram Multi-account** (ID: obifanppcpchlehkjipahhphbcbjekfa): Extrahiert den `user_auth`-Token, der von **Telegram Web** verwendet wird, und exfiltriert die Daten an einen Remote-Server. Sie kann auch `localStorage` mit vom Bedrohungsakteur bereitgestellten Sitzungsdaten überschreiben und die Messaging-Anwendung erzwingen, wodurch die aktive **Telegram**-Sitzung des Opfers effektiv ersetzt wird. * **Web Client for Telegram - Teleside** (ID: mdcfennpfgkngnibjbpnpaafcjnhcjno): Entfernt die Sicherheits-Header von **Telegram** und injiziert Skripte, um **Telegram**-Sitzungen zu stehlen. * **Formula Rush Racing Game** (ID: akebbllmckjphjiojeioooidhnddnplj): Stehlt die **Google**-Kontoidentität des Benutzers, einschließlich E-Mail, vollständiger Name, Profilbild-URL und **Google**-Konto-Identifikator, wenn das Opfer auf die Anmeldeschaltfläche klickt. "Fünf Erweiterungen verwenden die `declarativeNetRequest`-API von **Chrome**, um Sicherheits-Header von Zielseiten zu entfernen, bevor die Seite geladen wird", sagte **Socket**. "Alle 108 bösartigen Erweiterungen teilen sich denselben Backend, der unter 144.126.135[.]238 gehostet wird." ### Zuschreibung und Abhilfemaßnahmen Die Identität der Akteure hinter diesen Richtlinien-verletzenden Erweiterungen ist derzeit unbekannt. Die Analyse des Quellcodes hat jedoch russischsprachige Kommentare in mehreren Add-ons aufgedeckt. Benutzern, die eine dieser Erweiterungen installiert haben, wird dringend empfohlen, diese sofort zu entfernen und sich von allen **Telegram Web**-Sitzungen über die **Telegram**-Mobil-App abzumelden.