Über 100 Chrome-Erweiterungen beim Datenklau erwischt – was du jetzt tun solltest

Sicherheitsforscher haben 108 bösartige Erweiterungen im offiziellen Chrome Web Store entdeckt. Sie stehlen Google-Zugangsdaten, kapern Telegram-Accounts und öffnen versteckte Hintertüren – und viele sind noch immer verfügbar.

Wer Chrome nutzt, sollte seine installierten Erweiterungen dringend überprüfen: Sicherheitsforscher haben mehr als 100 Add-ons im offiziellen Chrome Web Store entdeckt, die heimlich Nutzerdaten stehlen, Konten kapern und Werbebetrug betreiben – und viele davon sind noch immer verfügbar.

108

schädliche Erweiterungen entdeckt

5

gefälschte Entwickleridentitäten

~20.000

betroffene Geräte

Was ist passiert?

Das Sicherheitsunternehmen Socket hat eine koordinierte Angriffskampagne im Chrome Web Store aufgedeckt. 108 Erweiterungen, die auf den ersten Blick wie nützliche Tools wirken, wurden unter fünf verschiedenen Entwicklernamen veröffentlicht: Yana Project, GameGen, SideGames, Rodeo Games und InterAlt. Sie tarnen sich als Telegram-Helfer, YouTube-Optimierer, Übersetzungstools oder Glücksspiel-Simulationen – alles nur, um möglichst viele Menschen zur Installation zu verleiten.

Was im Hintergrund passiert, ist alarmierend: Alle 108 Add-ons sind über dieselbe Serverinfrastruktur verbunden, über die Angreifer Befehle erteilen und gestohlene Daten einsammeln. Dass alle Erweiterungen dieselbe Infrastruktur nutzen, deutet laut den Forschern darauf hin, dass ein einzelner Angreifer hinter der gesamten Kampagne steckt.

Was stehlen die Erweiterungen genau?

Google-Kontodaten

54 Erweiterungen klauen beim Login sogenannte OAuth2-Token – digitale Schlüssel, mit denen Angreifer auf das Google-Konto zugreifen können, ohne das Passwort zu kennen. E-Mail-Adresse, Name und Profilbild werden an die Angreifer übermittelt.

Browser-Hintertüren (Backdoors)

45 Erweiterungen öffnen bei jedem Browserstart automatisch einen neuen Tab, der eine vom Angreifer frei wählbare URL ansteuert. Diese URL wird live vom Server abgerufen – die Angreifer behalten so dauerhaft die Kontrolle.

Telegram-Sitzungen

Mindestens eine Erweiterung liest aktive Telegram-Web-Sitzungen aus und kann sogar die Kontrolle darüber übernehmen – Angreifer könnten so unbemerkt fremde Accounts kapern.

Schädliche Skripte

Einige Erweiterungen schleusen zusätzlich bösartigen Code in jede vom Nutzer besuchte Webseite ein – unbemerkt im Hintergrund.

Warum sind solche Erweiterungen im offiziellen Store?

Das ist die unbequeme Wahrheit: Google prüft Erweiterungen im Chrome Web Store, aber die Kontrollen reichen offenbar nicht aus. Nach der Meldung durch die Socket-Forscher waren viele der gemeldeten Add-ons noch immer abrufbar – auch Golem.de hat dies stichprobenartig bestätigt. Die bloße Tatsache, dass eine Erweiterung „offiziell“ angeboten wird, ist kein Garant für Sicherheit.

Hinweise im Code deuten laut den Forschern auf eine russischsprachige Gruppe hin, die ihr Werkzeug möglicherweise als „Malware as a Service“ – also als käufliches Angriffs-Paket – vermarktet.

Kein Einzelfall: Erst kürzlich hatte ein anderes Forscherteam 287 weitere Chrome-Erweiterungen entdeckt, die für Datenhändler das Surfverhalten von Nutzern ausspioniert hatten – mit zusammen über 37 Millionen Downloads. Das Ausmaß war damals noch größer, doch der aktuelle Fall zeigt: Das Problem ist strukturell und nicht gelöst.

Was solltest du jetzt tun?

  1. Erweiterungen prüfen
    Rufe in Chrome die Seite chrome://extensions auf. Lösche alles, was du nicht aktiv nutzt oder nicht eindeutig kennst.
  2. Verdächtige Publisher sofort entfernen
    Sind Erweiterungen von Yana Project, GameGen, SideGames, Rodeo Games oder InterAlt installiert? Sofort deinstallieren.
  3. Google-Konto-Zugriffe prüfen
    Unter myaccount.google.com/permissions siehst du, welche Apps und Erweiterungen Zugriff auf dein Konto haben – und kannst diesen entziehen.
  4. Telegram abmelden
    Falls du Telegram Web nutzt, melde dich auf allen Geräten ab und wieder an, um mögliche gestohlene Sitzungen zu beenden.
  5. Passwörter ändern
    Als Vorsichtsmaßnahme – besonders wenn eine der verdächtigen Erweiterungen installiert war.
  6. Erweiterungen grundsätzlich reduzieren
    Weniger ist mehr. Installiere nur Add-ons von bekannten, verifizierten Anbietern mit vielen echten Bewertungen.

Fazit

Browser-Erweiterungen sind ein massiv unterschätztes Sicherheitsrisiko. Sie haben weitreichenden Zugriff auf alles, was im Browser passiert – und selbst der offizielle Chrome Web Store bietet keinen verlässlichen Schutz.
Ein kritischer Blick auf installierte Add-ons lohnt sich. Im Zweifelsfall gilt: weglassen.

Quelle: Socket Security Research

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Weiterlesen