{"id":6632,"date":"2026-01-20T14:07:49","date_gmt":"2026-01-20T14:07:49","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=6632"},"modified":"2026-01-20T14:07:49","modified_gmt":"2026-01-20T14:07:49","slug":"funf-chrome-erweiterungen-die-unternehmenssitzungen-kapern","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=6632","title":{"rendered":"F\u00fcnf Chrome-Erweiterungen, die Unternehmenssitzungen kapern"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
Forscher haben f\u00fcnf b\u00f6sartige Chrome-Erweiterungen entdeckt.\n

T. Schneider \u2013 shutterstock.com<\/p>\n<\/div>\n

Forscher des Security-Anbieters Socket haben eine koordinierte Kampagne entdeckt, die auf b\u00f6sartigen Chrome-Add-ons basiert. Die Angreifer haben die Abwehrmechanismen des Chrome Web Stores umgangen und Erweiterungen als Produktivit\u00e4tswerkzeuge beworben.<\/p>\n

\u201eDie Erweiterungen arbeiten zusammen, um Authentifizierungs-Token zu stehlen, Incident-Response-Funktionen zu blockieren und durch Session-Hijacking die vollst\u00e4ndige \u00dcbernahme von Konten zu erm\u00f6glichen\u201c, erkl\u00e4ren die Sicherheitsspezialisten in einem Blogbeitrag<\/a>.<\/p>\n

Die Hinterm\u00e4nner der Kampagne ver\u00f6ffentlichten f\u00fcnf Chrome-Erweiterungen, die trotz professionellem Branding und scheinbar legitimen Anwendungsf\u00e4llen tief im Inneren der Unternehmens-Workflows b\u00f6sartige Aktionen ausf\u00fchren.<\/p>\n

Die Installationszahlen deuten darauf hin, dass \u00fcber 2.300 Nutzer dazu verleitet wurden, diese Tools zu installieren. Die Erweiterungen zielen auf Systeme wie Workday, NetSuite und SuccessFactors ab, wo eine einzige gekaperte Sitzung Mitarbeiterdaten, Finanzdaten und interne Arbeitsabl\u00e4ufe offenlegen kann.<\/p>\n

Getarnte Produktivit\u00e4ts-Tools mit b\u00f6sartigen Codes<\/h2>\n

Die Erweiterungen<\/a> gaben sich als Produktivit\u00e4ts-Booster oder Sicherheitshelfer f\u00fcr Enterprise-Anwender aus. In den Eintr\u00e4gen zeigten die Angreifer professionell gestaltete Dashboards und versprachen einen vereinfachten Zugriff auf HR- oder ERP-Tools. Die angeforderten Berechtigungen waren dabei \u201eStandard\u201c und umfassten scheinbar harmlose Funktionen wie Cookie-Zugriff oder die Modifikation von Websites.<\/p>\n

Nach der Installation exfiltrierten jedoch drei der Erweiterungen, darunter DataByCloud Access, Data By Cloud 1 und eine Variante namens Software Access, Session Cookies mit Authentifizierungs-Token an eine vom Angreifer kontrollierte Infrastruktur. Diese Token reichen in vielen Unternehmenssystemen aus, um einen Benutzer ohne Passwort zu authentifizieren. In einigen F\u00e4llen wurden diese Cookies alle 60 Sekunden extrahiert, um aktuelle Anmeldedaten zu gew\u00e4hrleisten.<\/p>\n

Kompromittierte Sitzungen k\u00f6nnen wie gestohlene Passw\u00f6rter fungieren, da sie bereits die Anmeldeseiten und Multi-Faktor-Pr\u00fcfungen durchlaufen haben und somit einen direkten Zugriff auf ein Konto erm\u00f6glichen, ohne die \u00fcblichen Sicherheitswarnungen auszul\u00f6sen.<\/p>\n

\u201eAlle f\u00fcnf Erweiterungen werden zum Zeitpunkt der Erstellung dieses Artikels noch untersucht\u201c, so die Forscher. \u201eWir haben bei Googles Sicherheitsteam f\u00fcr den Chrome Web Store Antr\u00e4ge auf Entfernung gestellt.\u201c<\/p>\n

Blockierte Sicherheitsma\u00dfnahmen und Hijacking von Sitzungen<\/h2>\n

Die Kampagne ging aber \u00fcber den Diebstahl von Anmeldedaten hinaus. Zwei der Erweiterungen, Tool Access 11 und Data By Cloud 2, enthielten DOM-Manipulationsroutinen<\/a>, die den Zugriff auf Sicherheits- und Verwaltungsseiten innerhalb der Zielplattformen aktiv blockierten. Dadurch Enterprise-Admins selbst dann keine Passw\u00f6rter \u00e4ndern, die Anmeldungshistorie einsehen oder kompromittierte Konten deaktivieren, wenn sie verd\u00e4chtiges Verhalten feststellten.<\/p>\n

Die technisch fortschrittlichste der f\u00fcnf Erweiterungen, Software Access, bot zus\u00e4tzlich zum Cookie-Diebstahl eine bidirektionale Cookie-Injektion, bei der gestohlene Session-Tokens wieder in einen vom Angreifer kontrollierten Browser eingebracht wurden. Mithilfe von APIs wie \u201echrome.cookies.set()\u201c implantiert diese Funktion g\u00fcltige Authentifizierungs-Cookies direkt und gew\u00e4hrt den Angreifern eine authentifizierte Sitzung, ohne dass ahnungslose Benutzer weitere Ma\u00dfnahmen ergreifen m\u00fcssen.<\/p>\n

\u201eW\u00e4hrend vier Erweiterungen unter databycloud1104 und die f\u00fcnfte unter einem anderen Markennamen ver\u00f6ffentlicht werden, weisen alle f\u00fcnf identische Infrastrukturmuster auf, was auf eine einzige koordinierte Operation hindeutet\u201c, f\u00fcgen die Forscher hinzu.<\/p>\n

Tipps zum Schutz<\/h2>\n

Socket r\u00e4t Unternehmen, Browser-Erweiterungen streng zu pr\u00fcfen und zu beschr\u00e4nken, Berechtigungsanfragen genau zu pr\u00fcfen und Add-ons zu entfernen, die unn\u00f6tigerweise auf Cookies oder Enterprise-Websites zugreifen. Zudem empfiehlt der Blog, ungew\u00f6hnliche Session-Aktivit\u00e4ten zu \u00fcberwachen und Tools zu verwenden, die b\u00f6sartiges Verhalten von Erweiterungen erkennen k\u00f6nnen, bevor es die Benutzer erreicht. (jm)<\/p>\n

<\/a><\/p>\n

\u00a0<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

Forscher haben f\u00fcnf b\u00f6sartige Chrome-Erweiterungen entdeckt. T. Schneider \u2013 shutterstock.com Forscher des Security-Anbieters Socket haben eine koordinierte Kampagne entdeckt, die auf b\u00f6sartigen Chrome-Add-ons basiert. Die Angreifer haben die Abwehrmechanismen des Chrome Web Stores umgangen und Erweiterungen als Produktivit\u00e4tswerkzeuge beworben. \u201eDie Erweiterungen arbeiten zusammen, um Authentifizierungs-Token zu stehlen, Incident-Response-Funktionen zu blockieren und durch Session-Hijacking die vollst\u00e4ndige […]<\/p>\n","protected":false},"author":0,"featured_media":6633,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-6632","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/6632"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=6632"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/6632\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/6633"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=6632"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=6632"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=6632"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}