Als das Unternehmen Socket eine technische Analyse von 108 schädlichen Chrome-Erweiterungen veröffentlichte, überraschte nicht ihre bloße Existenz, sondern die Sorgfalt, mit der die dahinter stehende Infrastruktur aufgebaut war. Dies sind nicht einzelne „schlechte" Anwendungen — es ist eine koordinierte Kampagne mit einem einzigen Command-and-Control-Server, Monetarisierung durch Weiterverkauf und, dem Code nach zu urteilen, mit russischsprachigen Autoren.
Drei verschiedene Angriffe in einem Paket
Der Socket-Forscher Kush Pandya entdeckte, dass 54 Erweiterungen das OAuth2-Token von Google beim Anmelden in einem Konto stehlen und das Benutzerprofil an einen Server des Angreifers senden. Weitere 45 Erweiterungen enthielten einen universellen Backdoor: Sobald der Browser startet, können sie jede beliebige URL öffnen, ohne dass der Benutzer es weiß.
Der schwerwiegendste Fall ist die Erweiterung Telegram Multi-account. Nach Angaben von Cybernews unter Berufung auf den Socket-Bericht las sie alle 15 Sekunden die aktive Telegram-Web-Sitzung aus und sendete sie an einen vom Angreifer kontrollierten Server. Das reicht aus, um vollständigen Zugriff auf Chats und Kontakte zu erhalten — ohne Passwort und ohne Umgehung der Zwei-Faktor-Authentifizierung.
„Alle 108 leiten gestohlene Anmeldedaten, Benutzeridentifizierer und Browsing-Daten an Server weiter, die von einem einzelnen Betreiber kontrolliert werden."
— Kush Pandya, Socket-Forscher
Fünf „verschiedene" Entwickler — eine Hand
Die Erweiterungen wurden unter fünf separaten Verleger-Identifikatoren veröffentlicht: Yana Project, GameGen, SideGames, Rodeo Games und InterAlt. Das Verschleieren unter verschiedenen Autoren ist eine Standardtechnik, die es schwieriger macht, einen Cluster anhand des Rufes des Kontos zu erkennen. Wie BleepingComputer jedoch feststellte, floss der gesamte Datenverkehr auf einen VPS-Server von Contabo mit mehreren Subdomänen für verschiedene Funktionen: Sitzungserfassung, Befehlsausführung, Monetarisierung.
Gerade die Monetarisierung ist das besorgniserregendste Element. Die Infrastruktur unterstützte ein Malware-as-a-Service-Modell (MaaS): Gestohlene Daten und aktive Sitzungen konnten an Dritte weiterverkauft werden. Im Quellcode fand Socket Kommentare in russischer Sprache — insbesondere in der Authentifizierungs- und Sitzungsdiebstahl-Logik.
Wie das die Google-Überprüfung passierte
Fünf Erweiterungen verwendeten die Chrome-API declarativeNetRequest, um Sicherheits-Header zu entfernen (Content Security Policy, X-Frame-Options, CORS), noch bevor die Seite geladen wurde. Dies ermöglichte es, Werbebanner und Glücksspiel-Banner sogar auf YouTube und TikTok einzufügen. Die meisten Erweiterungen erfüllten dabei tatsächlich ihre angegebene Funktion — Spiele, Übersetzer, Telegram-Client —, was es schwierig machte, sie von legitimen zu unterscheiden.
Insgesamt wurden die Erweiterungen etwa 20.000 Mal installiert. Die Erweiterung Telegram Multi-account enthielt schädlichen Code mindestens seit dem 15. Februar 2025 — also über ein Jahr vor seiner Entdeckung.
- Überprüfen Sie die Liste aller 108 Erweiterungen im Socket-Bericht und deinstallieren Sie sie sofort
- Nach der Deinstallation — erzwungene Abmeldung von Google- und Telegram-Konten in allen Sitzungen
- In Telegram: Einstellungen → Geräte → alle aktiven Sitzungen beenden
- In Google: myaccount.google.com → Sicherheit → Ihre Geräte
Die eigentliche Frage ist nicht, ob Google diese 108 Erweiterungen löscht — das wird es tun. Die Frage ist, ob sich der Überprüfungsprozess des Chrome Web Store so ändern wird, dass die nächste Kampagne mit einem einzigen C2-Server über fünf Konten nicht ein Jahr lang unbemerkt bleibt. Wenn nicht — wird die nächste Liste länger.
