Nächste Chrome-Erweiterung beim Stehlen von Nutzerdaten erwischt

Passwörter, Cookies und API-Token: Die Chrome-Erweiterung Phantom Shuttle greift alles ab. Durch ein manipuliertes Proxy-Setup kapern Angreifer den Datenverkehr. Selbst die Multi-Faktor-Authentifizierung wird dabei effektiv ausgehebelt.

Gefährliche Proxys im Browser-Store

Zwei im Chrome Web Store angebotene Erweiterungen mit dem Namen "Phantom Shuttle" haben sich als Spionage-Software erwiesen. Statt Netzwerktests oder Proxy-Dienste bereitzustellen, wie beschrieben, leiten sie den gesamten Datenverkehr der Nutzer über fremde Server. Damit hat man nun schon wieder Datendiebe im Chrome Web Store enttarnt.

Ziel ist der Diebstahl sensibler Informationen wie Passwörter, Sitzungscookies und API-Zugangsdaten. Besonders kritisch ist, dass die Erweiterungen laut Sicherheitsforschern bereits seit 2017 aktiv waren und lange unentdeckt blieben.

Man-in-the-Middle

Technisch gehen die Angreifer dabei ganz gezielt vor, um Sicherheitsmechanismen zu umgehen. Sie manipulieren verbreitete JavaScript-Bibliotheken wie jQuery und integrieren darin verschleierten Schadcode.

Dieser enthält fest hinterlegte Zugangsdaten zu Proxy-Servern, die durch spezielle Codierungen verborgen werden. Ist die Erweiterung aktiviert, fungiert sie als Man-in-the-Middle. Der gesamte Webverkehr wird über von den Angreifern kontrollierte Server geleitet, wodurch diese vollständigen Zugriff auf die übertragenen Daten erhalten.

Raffinierte Tarnung im Code

Wie Experten der Supply-Chain-Sicherheitsplattform Socket berichten, ermöglichen die Manipulationen das Abfangen von Authentifizierungsanfragen auf nahezu allen Webseiten. Formulardaten, Zahlungsinformationen und Sitzungskennungen können in Echtzeit abgegriffen werden. Der Diebstahl von Session-Cookies gilt als besonders riskant, da damit oft auch Mehrfaktor-Authentifizierungen umgangen werden können. Die Erweiterungen ändern die Proxy-Einstellungen des Browsers über automatische Konfigurationsskripte, ohne dass Nutzer sichtbare Hinweise erhalten. Infografik Faktencheck: Deutsche sind online vergleichsweise gutgläubig

Ausgangspunkt für weitere Angriffe

In einem sogenannten "Smarty"-Modus wird der Datenverkehr gezielt für mehr als 170 ausgewählte Domains umgeleitet. Dazu zählen unter anderem GitHub, Atlassian, Stack Overflow sowie Verwaltungsoberflächen von Cloud-Diensten wie Amazon Web Services und Microsoft Azure. Die Auswahl deutet darauf hin, dass vor allem Entwicklerkonten und Unternehmenszugänge im Fokus stehen. Kompromittierte Konten könnten als Ausgangspunkt für weitere Angriffe auf Firmeninfrastrukturen dienen.

Obwohl Sicherheitsforscher Google über die Erweiterungen informierten, blieben diese längere Zeit im Web Store verfügbar. Der Fall zeigt, dass auch Add-ons aus offiziellen Quellen ein Risiko darstellen können. Fachleute raten dazu, installierte Browser-Erweiterungen regelmäßig zu überprüfen, Berechtigungen kritisch zu hinterfragen und die Zahl der Plug-ins möglichst gering zu halten.

Wie schützt ihr eure Browser-Umgebung vor solchen unsichtbaren Gefahren? Schreibt uns eure Strategien und Erfahrungen gerne in die Kommentare.


Siehe auch: