Eine Gruppe von schädlichen Erweiterungen für Google Chrome, posiert als Produktivität und Sicherheits-Tools auf Personal-Plattformen und Business ERP, wurde durch die Extraktion von Zugriff Anmeldeinformationen und Sabotage Management-Seiten entwickelt, um auf Vorfälle reagieren. Die Forschung wurde vom Cyber Security-Unternehmen veröffentlicht Sockel, die fünf Ergänzungen für Dienstleistungen wie Workday, NetSuite und SAP SuccessFactors identifizierte; zusammen fügten sie bis zu 2.300 Einrichtungen hinzu.
Sie waren anscheinend hilfreich, um das Management zu erleichtern und den Workflow in Unternehmensumgebungen zu beschleunigen: Boards, um mehrere Konten, angebliche Sicherheitskontrollen oder "Premium" Zugriff auf Funktionen zu verwalten. Unter dieser Fassade teilten sie jedoch ein sehr ähnliches Backend- und Codemuster, was eine koordinierte Operation trotz ihrer Veröffentlichung mit unterschiedlichen Namen und Marken nahelegte.
Die Kampagne beschäftigte drei Haupttaktiken: das Entfernen und Senden von Authentifizierungs-Cookies zur Steuerung und Steuerung von Servern, das Handling des DOM, um Schlüsselverwaltungsseiten zu löschen oder umzuleiten, und die Zwei-Wege-Injektion von Cookies, die aktive Sitzungen ermöglicht. Socket dokumentiert, dass mehrere der Erweiterungen geplant waren, regelmäßig ein Session-Cookie namens "_ _ session" zu erfassen, das mit den Zieldomänen verbunden ist - diese Cookies enthalten aktive Zugriffstoken - und sie wurden jede Minute an den Angreifer übermittelt, was es erlaubt, die Kontrolle auch bei geschlossenem und wieder geöffnetem Benutzer aufrechtzuerhalten.
Neben dem Stehlen von Tokens, zwei der erkannten Ergänzungen fungierten als bewusste Blockierung von Antwortfunktionen: durch die Erkennung des Titels der Seiten, entfernten sie den Inhalt oder umgeleitet die Administratoren außerhalb von Bildschirmen, die dem Sicherheits- und Sitzungsmanagement gewidmet. Nach den Ergebnissen, eine der Ergänzungen störte mit Dutzenden von administrativen Seiten (einschließlich IP-Bereich Authentifizierung und Steuerung Richtlinien) und eine andere erweitert diese Liste durch Hinzufügen von Passwort-Kontrollen, Konto-Deaktivierung, 2FA-Geräte und Audit-Daten. Der unterbrechungsfreie Zugriff auf diese Seiten kann verhindern, dass Sicherheitsteams gegen Eindringen mit ernsten Folgen in Geschäftsumgebungen.
Die Erweiterung mit gefährlicherem Verhalten, die unter einer anderen Marke veröffentlicht wurde, hat auch die Möglichkeit eingearbeitet, Cookies, die vom Server des Angreifers empfangen wurden, direkt in den Browser des Opfers einzuspritzen. Mit dieser Technik kann ein Angreifer eine authentifizierte Sitzung wiederherstellen, ohne das Passwort zu kennen oder explizit einen zusätzlichen Authentifizierungsfaktor zu zeichnen, der die Tür zur sofortigen Aufnahme kritischer Konten öffnet.
Obwohl die Anzahl der erkannten Einrichtungen - knapp über 2.300 - im Vergleich zu anderen Kampagnen nicht massiv ist, die potenziellen Auswirkungen sind unverhältnismäßig: gültige Anmeldeinformationen für Business-Plattformen sind ein sehr wertvoller Vermögenswert, der großformatige Datendiebstahl, Erpressung und Ransomware-Einstellungen heizen kann. Schlimmer noch, die Datenschutzerklärung und die Erweiterungsdateien warnten nicht über die Sammlung von Token oder die Änderung von administrativen Seiten, so dass die Opfer nicht vorhergesehen oder zugestimmt haben.
Socket notifiziert Google über die Erweiterungen und, zum Zeitpunkt der Veröffentlichung des Berichts, scheinen die betroffenen Einträge aus dem Chrome Web Store entfernt worden. Der Nachweis und die Rücknahme rücken jedoch nicht unbedingt das Risiko für diejenigen, die bereits eine dieser Ergänzungen installiert haben, um: Es ist wichtig, dass die Sicherheitsteams von Unternehmen mögliche unberechtigte Zugriffe untersuchen und entsprechend handeln.
Wenn Sie denken, Sie haben eine dieser Erweiterungen verwendet, es ist angemessen, Ihr Sicherheitsteam sofort zu informieren, die Ergänzung zu deinstallieren und zu ungültigen Sitzungen und Anmeldeinformationen auf den betroffenen Plattformen. Google bietet Anweisungen, um Erweiterungen in seinem Hilfezentrum zu verwalten und zu entfernen ( So entfernen Sie Erweiterungen in Chrome), und IT-Manager sollten den Widerruf von Token, die Änderung von Passwörtern, die Revision des Zugangsprotokolls und die Rotation relevanter Schlüssel oder Zertifikate berücksichtigen.
Für Organisationen und Administratoren ist dieser Vorfall eine Erinnerung daran, dass Browser-Erweiterungen ein Angriffsbereich sind, der Unternehmenskontrollen erfordert: Verwenden Sie Richtlinien, weiße Listen von Ergänzungen, regelmäßige Bewertungen und Überwachung von anormalen Verhaltensweisen. Die Empfehlungen der nationalen Sicherheitsbehörden und -zentren, wie Vereinigtes Königreich NCSC, bieten praktische Richtlinien, um das Risiko mit böswilligen Erweiterungen verbunden zu reduzieren.
Es ist auch für Unternehmen geeignet, ihre Antwortprozesse zu überprüfen: Die Blockierung des Zugangs von Managern zu Management-Tools ist eine bewusste Technik, um die Eindämmung zu behindern, so Segregation von Funktionen, strenge Kontrolle von Privilegien und die Fähigkeit, aus isolierten Management-Umgebungen handeln Schlüsselmaßnahmen. Für Benutzer und Sicherheitsbeamte, die Veröffentlichungsrichtlinien und akzeptables Verhalten auf dem Erweiterungsmarkt überprüfen müssen, ist die offizielle Dokumentation des Chrome Web Store-Programms ein nützlicher Ausgangspunkt ( Chrome Web Richtlinien für die Vermarktung)
Die wichtigste Lektion ist einfach: nicht alles, was wie ein "Management-Tool" aussieht. Bewahren Sie eine kritische Position gegen Erweiterungen, die breite Genehmigungen anfordern und überprüfen Sie zuverlässige Quellen vor der Installation sind Gewohnheiten, die jetzt verhindern können, dass eine einfache Installation eine Lücke wird, die kritische Unternehmensdaten beeinträchtigt. Um die technischen Details zu vertiefen und die von den Forschern gesammelten Beweise zu sehen, können Sie den vollständigen Bericht von Socket auf seinem Blog lesen ( Socketbericht)
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...