Letzte Woche nutzten Hacker den Heiligabend, um beliebte Chrome-Erweiterungen zu kompromittieren. Cyberkriminelle schleusten bösartigen Code in eine neue Version der Erweiterung ein, indem sie Entwicklerkonten auf der ausnutzten Google Chrome Web Store. Diese neuen Versionen wurden von Internetnutzern heruntergeladen und installiert. Die Erweiterungen konnten dann einen Teil der Benutzerdaten abschöpfen.
Nach Ermittlungen von Cyberhaven, einem der Ziele des Cyberangriffs, haben die Hacker kompromittiert insgesamt 36 Chrome-Erweiterungen um ihre Ziele zu erreichen. Nach Angaben des Cybersicherheitsunternehmens haben diese Erweiterungen mehr als 2.600.000 Benutzer. Cyberhaven sagt, dass dies weiterhin der Fall ist „Überwachen Sie auf andere Infektionen“.
Lesen Sie auch: Massiver Diebstahl bei Google Chrome – Ransomware stiehlt Passwörter von Internetnutzern
Der Ursprung liegt in einer raffinierten Phishing-Kampagne
Wenige Tage nach den Ereignissen stellte sich heraus, dass die gesamte Operation auf einem beruhte Umfangreiche Phishing-Kampagne richtet sich an Erweiterungsentwickler. Wie unsere Kollegen von Bleeping Computer berichten, begann Anfang Dezember 2024 eine Phishing-Welle. Allerdings bereiten die Hacker den Angriff bereits seit März letzten Jahres vor.
Der Angriff beginnt mit dem Versenden einer Phishing-E-Mail, die sich direkt an Entwickler von Chrome-Erweiterungen richtet. Um ihre Ziele zu täuschen, verwenden Hacker Domainnamen wie supportchromestore.com, forextensions.com oder sogar chromeforextension.com.
In der Google-Gruppe gibt ein Entwickler an, erhalten zu haben „Eine raffiniertere Phishing-E-Mail als üblich“. Dies warnte die Benutzer davor „ein angeblicher Verstoß gegen die Chrome-Erweiterungsrichtlinie, insbesondere aus einem Grund mit der Überschrift: Unnötige Details in der Beschreibung“.
Indem sie sich als Google ausgeben, behaupten die Angreifer, dass die Erweiterung aufgrund einer unzureichenden Beschreibung gelöscht werden könnte. Es überrascht nicht, dass die E-Mail Entwickler dazu auffordert, die Situation so schnell wie möglich zu beheben, indem sie auf einen Link zum Chrome Web Store klicken.
„Der Link in dieser E-Mail sieht aus wie der offizielle Store-Link, leitet jedoch auf eine Phishing-Site weiter, die darauf abzielt, die Kontrolle über Ihre Chrome-Erweiterung zu übernehmen, wahrscheinlich mit der Absicht, sie mit Malware zu aktualisieren »bezeugt der Entwickler und verweist auf die Offensivwelle in der Silvesternacht.
Dies ist ein besonders klassischer Vorgang für Hacker, die sich auf Phishing-Angriffe spezialisiert haben. Sobald der Entwickler auf die betrügerische Seite gelangt, wird er dazu aufgefordert Erteilen Sie Hackern die Erlaubnis, Erweiterungen zu verwalten über ihr Konto aus dem Chrome Web Store herunterladen.
Dazu nutzen Hacker eine bösartige OAuth-Anwendung ohne doppeltes Authentifizierungssystem. Hierbei handelt es sich um ein Standardautorisierungsprotokoll, das einer Drittanbieteranwendung den Zugriff auf geschützte Ressourcen eines anderen Dienstes ermöglicht, ohne dass der Benutzer Anmeldeinformationen wie Passwörter weitergeben muss. Mit nur wenigen Klicks geben Entwickler Cyberkriminellen Macht.
???? Um keine Neuigkeiten von 01net zu verpassen, folgen Sie uns auf Google News und WhatsApp.
Quelle :
Piepender Computer
