ZURÜCK ZU NACHRICHTEN
Eilmeldung

Stanley MaaS umgeht Chrome Web Store-Sicherheit mit garantiert schädlichen Erweiterungen

4 Min. LesezeitQuelle: BleepingComputer

Cyberkriminelle nutzen den neuen Malware-as-a-Service-Dienst 'Stanley', um schädliche Chrome-Erweiterungen zu verbreiten, die Googles Prüfprozess umgehen und Phishing-Angriffe ermöglichen.

Cyberkriminelle starten 'Stanley' Malware-as-a-Service für Chrome Web Store

Ein neu identifizierter Malware-as-a-Service (MaaS)-Dienst mit dem Namen „Stanley“ ermöglicht es Angreifern, schädliche Chrome-Erweiterungen zu verbreiten, die den Prüfprozess von Google erfolgreich umgehen und im offiziellen Chrome Web Store veröffentlicht werden. Der Dienst garantiert die Bereitstellung von phishing-fokussierten Erweiterungen, die erhebliche Risiken für Nutzer und Organisationen darstellen.

Technische Details

Laut Forschern arbeitet Stanley als abonnementbasiertes MaaS-Modell und stellt Cyberkriminellen vorgefertigte, schädliche Chrome-Erweiterungen zur Verfügung, die darauf ausgelegt sind, sowohl Googles automatisierte als auch manuelle Prüfprozesse zu umgehen. Diese Erweiterungen sind darauf spezialisiert, Phishing-Angriffe durchzuführen und sensible Daten wie Anmeldedaten, Finanzinformationen und Session-Cookies zu stehlen.

Wesentliche Merkmale des Stanley MaaS umfassen:

  • Umgehungstechniken: Erweiterungen imitieren legitime Funktionen, während sie schädliches Verhalten verbergen, z. B. durch dynamisches Laden von Code oder verzögerte Ausführung.
  • Persistenzmechanismen: Einige Varianten nutzen Techniken, um den Zugriff auch nach Browser-Neustarts oder Updates aufrechtzuerhalten.
  • Zielgerichtetes Phishing: Erweiterungen sind darauf ausgelegt, Anmeldedaten von hochwertigen Zielen wie Unternehmensnutzern und Finanzinstituten zu stehlen.

Zum Zeitpunkt der Berichterstattung wurden keine spezifischen CVE-IDs für die von diesen Erweiterungen ausgenutzten Schwachstellen vergeben. Dennoch zeigt der Dienst kritische Lücken im Prüfmechanismus des Chrome Web Stores auf, insbesondere bei der Erkennung von verschleiertem oder zeitverzögertem schädlichem Code.

Auswirkungen

Das Auftauchen von Stanley unterstreicht die wachsende Raffinesse von MaaS-Angeboten, die die Einstiegshürde für Cyberkriminelle mit begrenzten technischen Kenntnissen senken. Die Möglichkeit, schädliche Erweiterungen im Chrome Web Store – einer vermeintlich vertrauenswürdigen Plattform – zu veröffentlichen, erhöht das Risiko groß angelegter Phishing-Kampagnen, die folgende Ziele gefährden:

  • Unternehmensnutzer: Unternehmensanmeldedaten und interne Systeme könnten kompromittiert werden, was zu Datenlecks oder lateralen Bewegungen innerhalb von Netzwerken führen kann.
  • Privatnutzer: Persönliche Konten, einschließlich Bank- und E-Mail-Konten, sind durch Diebstahl von Anmeldedaten und finanziellen Betrug gefährdet.
  • Entwickler: Schädliche Erweiterungen könnten versehentlich von Entwicklern installiert werden, was zu Supply-Chain-Angriffen führen kann, wenn Erweiterungen mit legitimer Software gebündelt werden.

Der Chrome Web Store war aufgrund seiner großen Nutzerbasis (über 3 Milliarden Chrome-Nutzer) schon immer ein attraktives Ziel für Angreifer. Obwohl Google automatisierte Scans und manuelle Prüfungen einsetzt, um Risiken zu minimieren, zeigt der Stanley MaaS, dass entschlossene Angreifer weiterhin Lücken im Prozess ausnutzen können.

Empfehlungen für Sicherheitsteams

Um die Risiken durch schädliche Chrome-Erweiterungen zu minimieren, sollten Sicherheitsteams folgende Maßnahmen ergreifen:

  1. Erweiterungsrichtlinien durchsetzen: Beschränken Sie die Installation von Chrome-Erweiterungen auf eine vorab genehmigte Liste, insbesondere in Unternehmensumgebungen. Nutzen Sie Group Policy oder Chrome Enterprise Policy, um diese Einschränkungen durchzusetzen.

  2. Anomalien überwachen: Setzen Sie Endpoint Detection and Response (EDR)-Lösungen ein, um ungewöhnliches Verhalten von Erweiterungen zu überwachen, z. B. unautorisierte Datenexfiltration oder Netzwerkverbindungen zu bekannten schädlichen Domänen.

  3. Nutzer schulen: Führen Sie Schulungen zur Sensibilisierung für Sicherheit durch, um Nutzern zu helfen, Phishing-Versuche und die Risiken der Installation nicht verifizierter Erweiterungen – selbst aus dem Chrome Web Store – zu erkennen.

  4. Threat Intelligence nutzen: Abonnieren Sie Threat-Intelligence-Feeds, die schädliche Erweiterungen und MaaS-Operationen verfolgen. Teilen Sie Indicators of Compromise (IOCs) mit Branchenkollegen, um die kollektive Abwehr zu stärken.

  5. Regelmäßige Audits: Führen Sie regelmäßig Audits der installierten Erweiterungen auf Unternehmensgeräten durch, um nicht autorisierte oder verdächtige Add-ons zu identifizieren und zu entfernen.

  6. Verdächtige Erweiterungen melden: Ermutigen Sie Nutzer, Erweiterungen, die schädliches Verhalten zeigen, über das Chrome Web Store-Meldetool von Google zu melden.

Fazit

Die Stanley MaaS-Operation verdeutlicht die sich weiterentwickelnde Bedrohungslandschaft, in der Cyberkriminelle zunehmend vertrauenswürdige Plattformen wie den Chrome Web Store nutzen, um Malware zu verbreiten. Sicherheitsteams müssen einen proaktiven Ansatz verfolgen, der technische Kontrollen, Nutzerschulungen und Threat Intelligence kombiniert, um sich gegen diese raffinierten Angriffe zu verteidigen. Während Google seine Prüfprozesse weiter verfeinert, müssen Organisationen wachsam bleiben, um ihre Nutzer und Daten vor Phishing und Diebstahl von Anmeldedaten zu schützen.

Teilen

TwitterLinkedIn