Forscher haben eine weitere Familie bösartiger Erweiterungen im Chrome Store entdeckt. Diesmal wurden 30 verschiedene Chrome gefunden, die Zugangsdaten von mehr als 260.000 Nutzern gestohlen haben.
Die Erweiterungen erzeugten einen Vollbild-Iframe, der auf eine Remote-Domäne verwies. Dieser Iframe überlagerte die aktuelle Webseite und erschien optisch als Benutzeroberfläche der Erweiterung. Da diese Funktionalität remote gehostet wurde, wurde sie bei der Überprüfung, die die Erweiterungen für den Web Store freigab, nicht berücksichtigt.
In weiteren aktuellen Erkenntnissen berichteten wir über Erweiterungen, die ChatGPT-Chats ausspionierten, Sleeper-Erweiterungen, die die Browseraktivität überwachten, und eine gefälschte Erweiterung, die absichtlich einen Browserabsturz verursachte.
Um das Risiko von Entdeckungen und Abschaltungen zu streuen, verwendeten die Angreifer eine Technik, die als „Extension Spraying“ bekannt ist. Das bedeutet, dass sie unterschiedliche Namen und eindeutige Kennungen für im Grunde genommen dieselbe Erweiterung verwendeten.
Häufig stellen Forscher eine Liste mit Erweiterungsnamen und IDs zur Verfügung, und es ist Aufgabe der Benutzer, herauszufinden, ob sie eine dieser Erweiterungen installiert haben.
Die Suche nach Namen ist einfach, wenn Sie die Registerkarte „Erweiterungen verwalten“ öffnen, aber leider sind Erweiterungsnamen nicht eindeutig. Sie könnten beispielsweise die legitime Erweiterung installiert haben, die ein Krimineller zu imitieren versucht hat.
Suche nach eindeutiger Kennung
Bei Chrome Edge ist eine Browser-Erweiterungs-ID eine eindeutige 32-stellige Zeichenfolge aus Kleinbuchstaben, die auch dann unverändert bleibt, wenn die Erweiterung umbenannt oder erneut ausgeliefert wird.
Wenn wir die Erweiterungen unter dem Gesichtspunkt der Entfernung betrachten, gibt es zwei Arten: solche, die vom Benutzer installiert wurden, und solche, die auf andere Weise (Netzwerkadministrator, Malware, Gruppenrichtlinienobjekt (GPO) usw.) zwangsweise installiert wurden.
In dieser Anleitung befassen wir uns nur mit dem ersten Typ – denjenigen, die Benutzer selbst aus dem Web Store installiert haben. Die folgende Anleitung bezieht sich auf Chrome, gilt aber fast genauso für Edge.
So finden Sie installierte Erweiterungen
Sie können die installierten Chrome wie folgt überprüfen:
- Geben Sie in die Adressleiste Folgendes ein
chrome://extensions/. - Dadurch wird die Registerkarte „Erweiterungen“ geöffnet und die installierten Erweiterungen werden nach Namen sortiert angezeigt.
- Aktivieren Sie nun den Entwicklermodus, um auch deren eindeutige ID anzuzeigen.
Entfernungsmethode im Browser
Verwenden Sie die Schaltfläche „Entfernen“, um unerwünschte Einträge zu löschen.
Wenn es nach dem Neustart verschwunden bleibt, sind Sie fertig. Wenn es keine Schaltfläche „Entfernen“ gibt oder Chrome , dass es „von Ihrem Administrator installiert“ wurde, oder wenn die Erweiterung nach einem Neustart wieder erscheint, gibt es eine Richtlinie, einen Registrierungseintrag oder eine Malware, die dies erzwingt.
Alternative
Alternativ können Sie auch den Ordner „Extensions“ durchsuchen. Auf Windows befindet sich dieser Ordner hier: C:\Users\<your‑username>\AppData\Local\Google\Chrome\User Data\Default\Extensions.
Bitte beachten Sie, dass der Ordner „AppData“ standardmäßig ausgeblendet ist. Um Dateien und Ordner in Windows einzublenden, öffnen Sie den Explorer, klicken Sie auf die Registerkarte„Ansicht“(oder das Menü) und aktivieren Sie das Kontrollkästchen„Ausgeblendete Elemente“. Für erweiterte Optionen wählen Sie„Optionen“ > „Ordner- und Suchoptionen ändern“ > Registerkarte „Ansicht“ und aktivieren Sie dann„Ausgeblendete Dateien, Ordner und Laufwerke anzeigen“.
Sie können die Liste alphabetisch sortieren, indem Sie einmal oder zweimal auf die Spaltenüberschrift „Name“ klicken. So lassen sich Erweiterungen leichter finden, wenn Sie viele davon installiert haben.
Das Löschen des Erweiterungsordners hat hier einen Nachteil. Es hinterlässt einen verwaisten Eintrag in Ihrem Browser. Wenn Sie Chrome nach diesem Vorgang Chrome starten, wird die Erweiterung nicht mehr geladen, da ihre Dateien nicht mehr vorhanden sind. Sie wird jedoch weiterhin auf der Registerkarte „Erweiterungen“ angezeigt, nur ohne das entsprechende Symbol.
Daher empfehlen wir, Erweiterungen im Browser nach Möglichkeit zu entfernen.
Bösartige Erweiterungen
Nachfolgend finden Sie die Liste der Erweiterungen, die Anmeldedaten mithilfe der iframe-Methode stehlen, wie sie von den Forschern bereitgestellt wurde.
| Erweiterungs-ID | Erweiterungsname |
|---|---|
| acaeafediijmccnjlokgcdiojiljfpbe | ChatGPT Übersetzen |
| baonbjckakcpgliaafcodddkoednpjgf | XAI |
| bilfflcophfehljhpnklmcelkoiffapb | KI für Übersetzungen |
| cicjlpmjmimeoempffghfglndokjihhn | KI-Anschreiben-Generator |
| ckicoadchmmndbakbokhapncehanaeni | KI-E-Mail-Verfasser |
| ckneindgfbjnbbiggcmnjeofelhflhaj | KI-Bildgenerator Chat GPT |
| cmpmhhjahlioglkleiofbjodhhiejhei | KI-Übersetzer |
| dbclhjpifdfkofnmjfpheiondafpkoed | Ai-Hintergrundbild-Generator |
| djhjckkfgancelbmgcamjimgphaphjdl | KI-Seitenleiste |
| ebmmjmakencgmgoijdfnbailknaaiffh | Mit Gemini chatten |
| ecikmpoikkcelnakpgaeplcjoickgacj | KI-Bildgenerator |
| fdlagfnfaheppaigholhoojabfaapnhb | Google Gemini |
| flnecpdpbhdblkpnegekobahlijbmfok | ChatGPT-Bildgenerator |
| fnjinbdmidgjkpmlihcginjipjaoapol | E-Mail-Generator KI |
| fpmkabpaklbhbhegegapfkenkmpipick | Chat GPT für Gmail |
| fppbiomdkfbhgjjdmojlogeceejinadg | Gemini AI-Seitenleiste |
| gcfianbpjcfkafpiadmheejkokcmdkjl | Lama |
| gcdfailafdfjbailcdcbjmeginhncjkb | Grok-Chatbot |
| gghdfkafnhfpaooiolhncejnlgglhkhe | KI-Seitenleiste |
| gnaekhndaddbimfllbgmecjijbbfpabc | Fragen Sie Gemini |
| gohgeedemmaohocbaccllpkabadoogpl | DeepSeek-Chat |
| hgnjolbjpjmhepcbjgeeallnamkjnfgi | KI-Briefgenerator |
| idhknpoceajhnjokpnbicildeoligdgh | ChatGPT-Übersetzung |
| kblengdlefjpjkekanpoidgoghdngdgl | KI GPT |
| kepibgehhljlecgaeihhnmibnmikbnga | DeepSeek herunterladen |
| lodlcpnbppgipaimgbjgniokjcnpiiad | KI-Nachrichtengenerator |
| llojfncgbabajmdglnkbhmiebiinohek | ChatGPT-Seitenleiste |
| nkgbfengofophpmonladgaldioelckbe | Chatbot GPT |
| nlhpidbjmmffhoogcennoiopekbiglbp | KI-Assistent |
| phiphcloddhmndjbdedgfbglhpkjcffh | Chat Gpt fragen |
| pgfibniplgcnccdnkhblpmmlfodijppg | ChatGBT |
| cgmmcoandmabammnhfnjcakdeejbfimn | Grok |
Wir berichten nicht nur über Bedrohungen - wir beseitigen sie
Cybersecurity-Risiken sollten nie über eine Schlagzeile hinausgehen. Laden Sie noch heute Malwarebytes herunter, um Bedrohungen von Ihren Geräten fernzuhalten.
