LayerX hat über 40 bösartige Browsererweiterungen identifiziert, die Teil von drei verschiedenen Phishing-Kampagnen sind.
Die erste Entdeckung dieser Kampagne erfolgte durch die DomainTools Intelligence (DTI) Team, das eine Liste verdächtiger Domänen identifiziert die mit Browser-Erweiterungen kommunizierten, die sich als legitime Marken ausgaben. Die Untersuchung des DTI lieferte jedoch eine Liste bösartiger Domänen, es wurde jedoch nicht die vollständige Liste der einzelnen bösartigen Erweiterungen identifiziert.
Aufbauend auf den ersten Untersuchungen von DTI untersuchte LayerX die markierten URLs, um die tatsächlichen Metadaten der Chrome-Erweiterung zu ermitteln. Durch die Analyse der zugehörigen Erweiterungsseiten konnte LayerX Folgendes identifizieren:
- Erweiterungs-IDs
- Erweiterungsnamen
- Die Verlage dahinter
- Metadaten der Erweiterung wie Veröffentlichungsdatum, letztes Software-Update usw.
Diese Untersuchung ergab Über 40 bösartige Erweiterungen, von denen viele noch immer im Google Chrome Store verfügbar sind.
Die vollständige Liste der Erweiterungen finden Sie am Ende dieses Beitrags.
Wichtige Erkenntnisse aus der LayerX-Analyse
Bei genauerer Analyse der Erweiterungsseiten und Verhaltensweisen deckte LayerX mehrere wichtige Muster und Erkenntnisse auf:
1. KI-generierte Erweiterungsseiten
Die bösartigen Erweiterungsseiten wiesen eine sehr ähnliche Struktur, Formatierung und Sprache auf, was darauf hindeutet, dass sie wahrscheinlich mithilfe von KI-Tools automatisch generiert wurden. Diese Taktik ermöglichte es den Angreifern, ihre Bemühungen mit minimalem manuellen Aufwand schnell auf Dutzende gefälschter Tools auszuweiten.
2. Nachahmung beliebter Tools und Marken
Die Erweiterungen wurden sorgfältig entwickelt, um bekannte Plattformen nachzuahmen, darunter:
- Fortinet / FortiVPN
- DeepSeek-KI
- Calendly
- YouTube-Hilfstools
- Krypto-Dienstprogramme wie DeBank
Indem sie auf dem Vertrauen etablierter Namen basierten, konnten diese bösartigen Tools das Misstrauen der Benutzer effektiv umgehen und sich bei der Installation einer genauen Prüfung entziehen.
3. Raffinierte Markenmaskierung
Sie haben nicht nur versucht, sich als bekannte, legitime Erweiterungen und/oder Marken auszugeben, sondern auch versucht, sich als solche auszugeben:
- Registrierte Domänennamen, die ähnlich aussahen (z. B. calendlydaily[.]world und calendly-director[.com], um sich als Calendly auszugeben)
- Bei allen Erweiterungen dieser Kampagne handelte es sich bei der Domain des Herausgebers und des E-Mail-Kontakts nicht um ein privates Gmail-Konto, sondern um eine unabhängige Domain, um glaubwürdiger zu wirken.
- Die Kontakt-E-Mail-Adressen folgten dem Standardformat „support@domain-name“, was wiederum mehr Glaubwürdigkeit verleiht und den Anschein erweckt, als ob ein legitimer Herausgeber dahinter steckt.
Diese Erweiterungen gewähren Angreifern dauerhaften Zugriff auf Benutzersitzungen und ermöglichen so Datendiebstahl, Identitätsbetrug und das potenzielle Eindringen in Unternehmensumgebungen.
Wie Organisationen reagieren können
Die aktuelle Welle bösartiger Erweiterungen verdeutlicht einen wichtigen Schwachpunkt in der Sicherheitslage vieler Unternehmen: den Browser selbst. So können Unternehmen proaktiv vorgehen, um die Risiken zu minimieren:
1. Blockieren Sie schädliche Erweiterungen anhand der Erweiterungs-ID
Unternehmen können schädliche Erweiterungen manuell über MDM oder die Durchsetzung von Browserrichtlinien blockieren. Diese Methode ist jedoch oft arbeitsintensiv und erfordert, dass Sicherheitsteams Erweiterungs-IDs verfolgen, neue Bedrohungen überwachen und nahezu in Echtzeit reagieren.
2. Setzen Sie die Extension-Hygiene durch
Übernehmen Sie grundlegende Hygienerichtlinien für Browsererweiterungen:
- Blockieren Sie Erweiterungen von unbekannten oder nicht verifizierten Herausgebern
- Beschränken Sie die Installation neuer Erweiterungen (kürzlich veröffentlicht).
- Markieren Sie Erweiterungen mit einer geringen Anzahl an Überprüfungen oder ungewöhnlichen Berechtigungsanfragen
- Vermeiden Sie Tools, die mit verdächtigen oder Marken-Spoofing-Domains in Verbindung stehen
3. Blockieren Sie Erweiterungen, auch wenn sie aus dem Chrome Store entfernt wurden
Einige kompromittierte Erweiterungen wurden bereits aus dem Google Chrome Store entfernt. Aktive Installationen werden jedoch nicht aus den Browsern der Nutzer entfernt. Daher müssen Nutzer und Organisationen die Erweiterungen manuell entfernen.
Wie LayerX helfen kann
LayerX bietet eine speziell entwickelte Browser-Sicherheitsplattform, die Erweiterungen kontinuierlich in Echtzeit überwacht und auswertet. Sie bietet die vollständige Erkennung aller Erweiterungen, automatische Risikoklassifizierung und detaillierte Durchsetzungsoptionen zum Blockieren schädlicher Erweiterungen.
Unter anderem kann es:
- Blockieren Sie automatisch schädliche oder risikoreiche Erweiterungen
- Erkennen Sie Erweiterungen, die verdächtige Aktionen ausführen, wie z. B. Cookies stehlen, Skripts einfügen usw.
- Ermöglichen Sie Administratoren, Erweiterungsrichtlinien organisationsweit festzulegen und durchzusetzen
- Halten Sie mit den sich schnell entwickelnden Bedrohungen Schritt – durch Telemetrie und Bedrohungsinformationen
Für Unternehmen, die sich Sorgen um die Bedrohungsfläche ihrer Browsererweiterungen machen, bietet LayerX ein kostenloses Browser-Erweiterungs-Audit an. Das Audit umfasst die Erkennung aller in Ihrer Umgebung installierten Browsererweiterungen, die Zuordnung der installierten Benutzer zu den jeweiligen Erweiterungen und umsetzbare Empfehlungen zur Behebung der Gefährdung durch schädliche Erweiterungen.
Zu unseren Stellenangeboten um sich für das ergänzende Erweiterungsaudit anzumelden.
Liste der IDs bösartiger Erweiterungen:
| Erweiterungs-ID | Erweiterungsname | Publisher |
| ccollcihnnpcbjcgcjfmabegkpbehnip | FortiVPN | https://forti-vpn[.]com/ |
| aeibljandkelbcaaemkdnbaacppjdmom | Manus AI | Kostenloser KI-Assistent | https://manusai[.]sbs |
| fcfmhlijjmckglejcgdclfneafoehafm | Site Stats | https://sitestats[.]world |
| abbngaojehjekanfdipifimgmppiojpl | Generator für Bekleidungsmarkennamen | https://clothingbrandnamegenerator[.]app |
| dohmiglipinohflhapdagfgbldhmoojl | DeBank – Digitale Vermögenswerte | winchester[.]abram37 |
| acmiibbcdcmaghndcahglamnhnlmcmlng | AML-Sektor | Kostenloser Krypto-AML-Checker | https://amlsector[.]com |
| mipophmjfhpecleajkijfifmffcjdiac | Vision der Krypto-Wale | https://cryptowhalesvision[.]world |
| cknmibbkfbephciofemdjndbgebggnkc | Calendly Daily | Kostenlose Software zur Terminplanung | https://calendly-daily[.]com |
| gmigkpkjegnpmjpmnmgnkhmoinpgdnfc | Kostenlose Software zur Terminplanung | https://calendly-docket[.]com |
| ahgccenjociolkbpgbfibmfclcfnlaei | CreativeHunter – Kostenloses Tool für Facebook | https://creativehunter[.]world |
| kjhjnbdjonamibpaalanflmidplhiehe | Zwillingsnetz | https://twin-web[.]world |
| pobknfocgoijjmokmhimkfhemcnigdji | EventSphere | https://eventphere[.]com |
| iclckldkfemlnecocpphinnplnmijkol | SQLite-Browser | https://sqlitebrowser[.]app |
| jmpcodajbcpgkebjipbmjdoboehfiddd | DeepSeek AI Chat | https://ai-chat-bot[.]pro |
| ihdnbohcfnegemgomjcpckmpnkdgopon | Satzumschreiber mit künstlicher Intelligenz | https://ai-sentence-rewriter[.]com |
| oeefjlikahigmlnplgijgeeecbpemhip | Konvertieren Sie PDF in JPG | https://pdf-to-jpg[.]app |
| aofddmgnidinflambjlfkpboeamdldbd | HTML-Validator | https://htmlvalidator[.]app |
| acchdggcflgidjdcnhnnkfengdcmldae | CMS-Checker | https://cmschecker[.]app |
| albakpncdngcejcjdahomfbkakbmafgb | Stundenlohn-Rechner | https://hourlytosalarycalculator[.]app |
| hhlcpmdhlcoghhfgiiopcjbkfmdliknc | CSS-Validator | https://cssvalidator[.]app |
| eheagnmidghfkkcaehacggccfiidhik | E-Mail-Checker – E-Mail-Adresse mit einem Klick verifizieren | https://email-checker[.]pro |
| ckcfkaikieiicfdeomgehmnjglnofhde | Krypto-Wal-Alarm – Blockchain-Transaktionsdaten | https://crypto-whale[.]top |
| pbpobpjppnecgcinajfpaninmjkdbidm | Webanalyse – Website-Traffic- und SEO-Checker | https://web-analytics[.]top |
| gdfjahfbaillhkeigeinoomhjnfajbon | Ad Vision – Kostenloses Ad Spy-Tool für Facebook | https://ad-vision[.]click |
| eoalbaojjblgndkffciljmiddhgjdldh | Madgicx Plus – Die SuperApp für Meta-Werbetreibende | https://madgicx-plus[.]com |
| odhmhkkhpibfjijmpgcdjondompgocog | Similar Net – Website-Traffic- und SEO-Checker | https://similar-net[.]com |
| ohhhngpnknpdhmdmpmoccgjmmkkleipn | Meta Spy – Kostenloses Ad Spy-Tool für Facebook | https://meta-spy[.]help |
| nejfdccopmpimplhmmdfjobodgeaoihd | Kostenloses VPN – Raccoon | Unbegrenztes VPN | https://raccoon-vpn[.]world |
| dhhmopcmpiadcgchhhldcpoeppcofdic | Kostenloses VPN – Orchid | Unbegrenztes VPN | https://orchid-vpn[.]com |
| ffmfnniephcagojkpjddjiogjeoijjgl | VPN Free – Soul VPN Unbegrenzter VPN-Proxy | https://soul-vpn[.]com |
| nabbdpjneieneepdfnmkdhooellilgho | Website-Überwachung | https://websitemonitoring[.]pro |
| mldeggofnfaiinachdeidpecmflffoam | KI-Autor | https://aiwriter[.]expert |
| pndmbpnfolikhfnfnkmjkkpcgkmaibec | KI-Anzeigengenerator | https://aiadgenerator[.]app |
| elipckbifniceedgalakgnmgeimfdcdi | Schlagzeilen-Generator | https://headlinegenerator[.]app |
| kkgmdjjpobmenpkhcclceelekpbnnana | Web-Überwachung | https://webwatch[.]world |
| dcnjgfafcnopabhpgoekkgckgkkddpjg | Youtube Vision | https://youtube-vision[.]world |
| mllkmmdaapekjehapekhjjiednchgmag | Web Metrics – Website-Traffic- und SEO-Checker | https://web-metrics[.]link |
| bhahpmoebdipfoaadcclkcnieeokebnf | Bitcoin-Preis live | https://bitcoin-price[.]live |
| oliiideaalkijolilhhaibhbjfhbdcnm | Linkverkürzer | https://u99[.]pro |
