Das Anwendungssicherheitsunternehmen **Socket** hat mehr als 100 bösartige Erweiterungen identifiziert, die aktiv im offiziellen **Chrome Web Store** operieren. Diese Erweiterungen sind darauf ausgelegt, **Google** OAuth2 Bearer-Token zu stehlen, Backdoors einzurichten und Anzeigenbetrug zu begehen. Die Forscher stellten fest, dass diese Erweiterungen Teil einer koordinierten Kampagne sind und alle mit derselben Command-and-Control (C2)-Infrastruktur kommunizieren. Die Angreifer verteilten diese Erweiterungen unter fünf verschiedenen Publisher-Identitäten, die Kategorien wie Telegram-Sidebar-Clients, Spielautomaten- und Keno-Spiele, YouTube- und TikTok-Verbesserer, ein Textübersetzungstool und allgemeine Dienstprogramme umfassen. Laut dem Bericht nutzt die Kampagne ein zentrales Backend, das auf einem Contabo VPS gehostet wird. Dieses Backend ist in mehrere Subdomains unterteilt, die für Session-Hijacking, Identitätssammlung, Befehlsausführung und Monetarisierung zuständig sind. Die Analyse von **Socket** deutet auf die Beteiligung einer russischen Malware-as-a-Service (MaaS)-Operation hin, basierend auf Kommentaren im Code, die sich auf Authentifizierung und Session-Diebstahl beziehen.  ### Erfassung von Daten und Übernahme von Konten Der größte Cluster bösartiger Erweiterungen, insgesamt 78, injiziert Angreifer-kontrollierten HTML-Code in die Benutzeroberfläche mithilfe der Eigenschaft 'innerHTML'. Dies ermöglicht es den Angreifern, den dem Benutzer angezeigten Inhalt zu manipulieren. Die zweitgrößte Gruppe, bestehend aus 54 Erweiterungen, nutzt 'chrome.identity.getAuthToken', um sensible Benutzerdaten zu sammeln, darunter E-Mail-Adressen, Namen, Profilbilder und **Google**-Konto-IDs. Diese Erweiterungen zielen auch auf das **Google** OAuth2 Bearer-Token ab, eine kurzlebige Anmeldeinformation, die Anwendungen den Zugriff auf Benutzerdaten oder die Möglichkeit gewährt, in ihrem Namen zu handeln. Die Kompromittierung dieses Tokens ermöglicht es Angreifern, den Benutzer zu imitieren.  Eine dritte Gruppe von 45 Erweiterungen enthält eine versteckte Funktion, die beim Start des Browsers ausgeführt wird. Diese Funktion fungiert als Backdoor, ruft Befehle vom C2-Server ab und kann beliebige URLs öffnen, ohne dass eine Benutzerinteraktion erforderlich ist. Eine besonders besorgniserregende Erweiterung, die von **Socket** hervorgehoben wurde, stiehlt alle 15 Sekunden **Telegram** Web-Sitzungen. Sie extrahiert Sitzungsdaten aus 'localStorage' und dem Sitzungstoken für **Telegram** Web und überträgt diese Informationen an den C2. "Die Erweiterung verarbeitet auch eine eingehende Nachricht (set_session_changed), die die umgekehrte Operation durchführt: Sie löscht den localStorage des Opfers, überschreibt ihn mit vom Angreifer bereitgestellten Sitzungsdaten und lädt Telegram zwangsweise neu", erklärt **Socket**. "Dies ermöglicht es dem Betreiber, den Browser eines beliebigen Opfers ohne dessen Wissen in ein anderes **Telegram**-Konto zu tauschen." Die Forscher identifizierten außerdem drei Erweiterungen, die darauf ausgelegt sind, Sicherheits-Header zu entfernen und Werbung in **YouTube** und **TikTok** einzufügen, eine Erweiterung, die Übersetzungsanfragen über einen bösartigen Server weiterleitet, und eine nicht aktive **Telegram**-Sitzungsdiebstahl-Erweiterung, die eine gestufte Infrastruktur nutzt. **Socket** hat die Kampagne bei **Google** gemeldet, aber zum Zeitpunkt der Veröffentlichung ihres Berichts blieben alle bösartigen Erweiterungen im **Chrome Web Store** verfügbar. BleepingComputer hat bestätigt, dass viele der in **Socket**s Bericht aufgeführten Erweiterungen noch aktiv sind. Sie haben **Google** um eine Stellungnahme gebeten, aber noch keine Antwort erhalten. Benutzern wird dringend empfohlen, ihre installierten Erweiterungen mit den von **Socket** veröffentlichten IDs abzugleichen und alle Übereinstimmungen sofort zu deinstallieren.