In den letzten Wochen wurden mehrere böswillige Erweiterungen für Google Chrome auf die Oberfläche abgeflacht, die durch Produktivitätstools, die auf Personal-Plattformen und ERP ausgerichtet sind, wie Workday, NetSuite oder SuccessFactors. Socket-Sicherheitsforscher haben fünf Ergänzungen identifiziert, die, obwohl als Dienstprogramme gefördert, um den Zugang zu Premium-Tools zu erleichtern, verstecken Fähigkeiten entwickelt, um Sitzungen zu stehlen und alle Antwortversuche von Sicherheitsteams blockieren.
Die identifizierten Erweiterungen umfassen Namen wie DataByCloud Access, DataByCloud 1, DataByCloud 2, Tool Access 11 und Software Access, mit mehreren Versionen, die unter einem oder zwei verschiedenen Editoren veröffentlicht werden. Einige kamen, um mehrere hundert oder Tausende von Einrichtungen zu sammeln, bevor Google die meisten von ihnen aus dem offiziellen Speicher entfernt; aber einige Installateure bestanden in Drittanbieter-Repositories, die das Risiko erhöht, dass Benutzer und Unternehmen ohne ausreichende Software-Kontrolle werden sie zu Ende führen. Der technische Bericht von Socket beschreibt detailliert, wie sie funktionieren und warum sie besonders gefährlich sind: Socketanalyse.
Die zentrale Technik mit diesen Erweiterungen ist die Nutzung von Authentifizierungs-Cookies: Sie sammeln Sitzungs-Cookies von bestimmten Domains im Zusammenhang mit Unternehmensdienstleistungen und senden sie regelmäßig an von den Angreifern kontrollierte Server. In einigen Fällen wird dies durch die umgekehrte Kapazität ergänzt: Empfangen von Cookies von einem Remote-Server und injizieren sie in den Browser des Angreifers, um die Sitzung des Opfers direkt zu übernehmen. Dieser "Injektion"-Mechanismus ermöglicht es dem Angreifer, mit der gleichen Identität wie die betroffene Person zu arbeiten, ohne sein Passwort kennen zu müssen, das Socket als effiziente Methode der Konto-Kidnapping dokumentiert.
Aber die Bedrohung bleibt nicht im passiven Diebstahl der Anmeldeinformationen. Mehrere dieser Ergänzungen manipulieren das Document Object Model (DOM) von kritischen administrativen Seiten, um zu verhindern, dass Sicherheitsteams auf Kontoverwaltungsoptionen zugreifen, wie Passwortänderungen, Sitzungssteuerung, Sicherheits-Proxy-Einstellungen oder erlaubte IP-Listen. Durch das Löschen oder Umleiten des Inhalts von administrativen Seiten können diese Erweiterungen Kontrollen neutralisieren, die es erlauben würden, kompromittierte Sitzungen zu widerrufen oder unerwünschte Zugriffsvektoren zu schließen. Das Ergebnis ist ein größeres Belichtungsfenster, in dem Angreifer nicht nur den Zugang stehlen, sondern es auch schwierig machen, von der gleichen Umgebung zu lösen, die es schützen sollte.
Forscher beobachteten auch Techniken, um die Überprüfung des Codes durch Administratoren zu komplizieren: einige Ergänzungen integrierte Buchhandlungen, die versuchen, die Browser-Entwickler-Tools zu deaktivieren, mit dem Ziel, seine Operation zu verstecken und manuelle Analyse schwierig zu machen. Das in diesem Fall als DisableDevtool verwendete Open Source-Projekt ist in GitHub öffentlich verfügbar und erklärt, wie diese Inspektionsschicht behandelt wird: DisableDevtool in GitHub.
Ein wesentliches Detail, das auf eine koordinierte Operation verweist, ist das Auftauchen in allen Erweiterungen derselben Liste von Kennungen anderer Sicherheitserweiterungen - Werkzeuge, die genau zum Manipulieren oder Audit von Cookies, Headern oder Sitzungen entwickelt wurden. Diese Liste fungiert als Inventar, mit dem Angreifer erkennen können, ob der Browser des Opfers Nutzen hat, die ihre Handlungen stören könnten, und ihr Verhalten vermutlich anpassen, um nicht erkannt zu werden. Die Wiederholung dieses Musters deutet entweder darauf hin, dass derselbe Schauspieler die verschiedenen Erweiterungen unter verschiedenen Namen veröffentlicht hat, oder dass es eine gemeinsame Toolbox in den Händen mehrerer Operatoren gibt.
Unter den beobachteten technischen Unterschieden steht die Erweiterung namens Software Access für ihre Raffinesse: Neben dem Stehlen von Cookies können Sie Cookies von Ihrem Befehl und Steuerserver erhalten, die vorhandenen entfernen und die neuen in den Zielbrowser schreiben, indem Sie die Chrome-Cookies API verwenden. Der Angreifer installiert dann den Authentifizierungsstatus des Opfers in seinem eigenen Browser und kann so funktionieren, als wäre er diese Person. Darüber hinaus enthält es Schutz in Passwort-Eingabefelder, um es schwierig, manuell zu überprüfen.
Während Google die meisten dieser Ergänzungen aus dem Chrome Web Store nach Warnungen entfernt, die Präsenz auf externen Seiten stellt verbleibende Risiken. Für diejenigen, die Business-run-Browser verwenden oder kritische Dienste aus dem Browser zugreifen, ist diese Folge eine Erinnerung, dass Erweiterungen, im Gegensatz zu nativen Anwendungen, einen Zugang zu Web-Aktivitäten haben, die sie sehr wertvolle Angriffspunkte macht. Google und andere Sicherheitsakteure haben auf die Notwendigkeit bestanden, installierte Erweiterungen für Jahre zu verwalten und zu auditieren; Googles offizielle Dokumentation über die Überprüfung und Entfernung von Erweiterungen können als grundlegende Anleitung für Benutzer dienen: So entfernen Sie Erweiterungen in Chrome.
Welche praktischen Schritte sollten jetzt unternommen werden? Zuerst entfernen Sie sofort jede verdächtige Erweiterung oder eine der in den Berichten. Es wird dann empfohlen, die Schließung von Sitzungen in kritischen Diensten zu zwingen und Passwörter zu ändern, insbesondere wenn der Browser verwendet wurde, um auf Geschäftskonten zugreifen. Die Aktivierung der Multifaktor-Authentifizierung (2FA) ist eine wichtige, aber nicht unfehlbare Bremse, wenn der Angreifer in der Lage ist, gültige Cookies zu injizieren; daher ist es auch ratsam, die Zugriffsdaten der verwendeten Plattformen zu überprüfen - viele Dienste zeigen aktuelle aktive Sitzungen und IP-Adressen - und die, die wir nicht erkennen. In Unternehmensumgebungen sollte die Antwort auf Geräteüberprüfung, Service-Account-Berechtigungen Rotation und Block-Anwendung von der zentralen Verwaltung, soweit möglich.
Dieser Fall zeigt, dass Browser-Sicherheit jetzt ein wesentlicher Bestandteil der Cyberdefence von Unternehmen ist. Es ist nicht nur eine Frage der Vermeidung von schädlichen Erweiterungen, sondern die Einrichtung von Kontrollen, um zu überprüfen und zu begrenzen, welche Ergänzungen installiert werden können, mit zentralisierten Erweiterungsmanagement-Richtlinien und die Aufrechterhaltung eines zuverlässigen Software-Inventars. Für IT-Experten und Sicherheitsbeamte sind die Anleitungen und Empfehlungen von Lieferanten und Notfall-Responsorzentren nützlich, wenn sie auf solche Verpflichtungen reagieren. Socket bietet eine technische Analyse und Proben, die die beobachteten Techniken vertiefen können: Lesen Socket-Bericht.
Kurz gesagt, Browser-Erweiterungen sind sehr praktisch, aber sie können auch mächtige Waffen in falschen Händen sein. Die strenge digitale Hygiene, die Einschränkung der Verwendung von Ergänzungen zu den streng notwendigen und die Sicherheitskontrollen an Arbeitsplätzen und Unternehmensbrowsern sind Aktionen, die das Risiko, dass ein einfacher Klick endet in einem weitreichenderen Eindringen erheblich reduzieren.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...
Gelbe Augen Der BitLocker Fehler, der es einem Angreifer ermöglichen könnte, Ihre Einheit mit nur physischem Zugriff zu entsperren
Microsoft hat eine Abschwächung für eine BitLocker Sicherheitslücke als bekannt als YellowKey (CVE-2026-45585) nachdem sein Konzepttest öffentlich ausgelaufen war und der koordi...