108 Chrome-Erweiterungen stehlen Google- und Telegram-Daten

20.000 Nutzer betroffen Bösartige Chrome-Erweiterungen stehlen Google- und Telegram-Daten

23.04.2026 Von Melanie Staudacher 3 min Lesedauer

Anbieter zum Thema

Unbekannte Täter haben im Chrome Web Store 108 bösartige Browser-Erweiterungen hochgeladen, die Daten von Google- und Telegram-Nutzern stehlen. Die Extensions wurden bereits 20.000 Mal heruntergeladen. So schützen Sie sich.

Die Publisher Yana Project, GameGen, SideGames, Rodeo Games und InterAlt verbreiten im Chrome Web Store gefährliche Browser-Erweiterungen, die Daten abzapfen.(Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert) — Die Publisher Yana Project, GameGen, SideGames, Rodeo Games und InterAlt verbreiten im Chrome Web Store gefährliche Browser-Erweiterungen, die Daten abzapfen.
(Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert)

Das Forschungsteam von Socket berichtet, insgesamt 108 bösartige Chrome-Erweiterungen im offiziellen Web Store entdeckt zu haben, die über dieselbe C2-Infrastruktur kommunizieren und Google- und Telegram-Daten stehlen würden. Diese Extensions hätten bereits Daten von rund 20.000 Nutzern gestohlen.

Mehrere Browser-Erweiterungen für Chrome und Edge sammeln heimlich KI-Prompts samt Antworten und senden sie komprimiert an Analytics-Server – ohne Opt-out-Möglichkeit für die Nutzer. (Bild: Dall-E / KI-generiert)

Extensions greifen im Hintergrund Daten ab

Die Analysten identifizierten fünf Publisher, die die bösartigen Extensions im Chrome Web Store hochgeladen hätten: Yana Project, GameGen, SideGames, Rodeo Games und InterAlt. Die Erweiterungen, die die Entwickler als angeblich hilfreiche Tools angeboten hätten, seien bereits mehr als 20.000 Mal heruntergeladen worden. Socket schlüsselte die Erweiterungen und ihre Aufgaben auf:

54 Erweiterungen stehle Google-Kontodaten über OAuth2.

Eine Erweiterung exfiltriere aktiv alle 15 Sekunden Telegram-Websitzungen.

Eine Erweiterung enthalte eine vorbereitete Infrastruktur zum Diebstahl von Telegram-Sitzungen.

Zwei Erweiterungen würden die Sicherheitsheader von YouTube entfernen und Werbung einfügen.

Eine Erweiterung entferne die Sicherheitsheader von TikTok und füge Werbung ein.

Zwei Erweiterungen würden Content-Skripte in jede vom Nutzer besuchte Seite einfügen.

Eine Erweiterung leite alle Übersetzungsanfragen über den Server des Angreifers.

45 Erweiterungen würden eine universelle Hintertür enthalten, die beim Browserstart beliebige URLs öffne.

Um legitim zu erscheinen, würden sich die Erweiterungen als Telegram-Sidebar-Clients, Spielautomaten und Keno-Spiele, YouTube- und TikTok-Erweiterungen, Textübersetzungstools und Seitenhilfsmittel ausgeben. Die Tarn-Funktionen seien darauf ausgelegt, ein möglichst breites Publikum anzusprechen, während sie alle dieselbe Backend-Architektur nutzen würden. Allerdings seiden Usern nicht bewusst, dass im Hintergrund ihrer Sitzung Informationen gestohlen würden, beliebige Skripte eingeschleust würden und die Akteure beliebige URLs öffnen könnten.

Wer hinter der Entwicklung und Verbreitung der bösartigen Chrome-Erweiterungen steckt, ist noch nicht bekannt. Socket habe jedoch ihren Quellcode analysiert und russischsprachige Kommentare in mehreren Add-ons aufgedeckt.

Version 145.0.7632.75 für Windows, Version 145.0.7632.76 für Mac und Version 144.0.7559.75 für Linux beheben die Use-after-free-Sicherheitlsücke in Google Chrome. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)

Schutzmaßnahmen

Socket veröffentlicht in seiner Analyse nicht alle 108 bösartigen Extensions, sondern nur Beispiele. Stattdessen liefert der Hersteller eine Liste mit Indicators of Compromise (IoCs) sowie Handlungsempfehlungen für User und IT-Sicherheitsteams.

Für User:

Suchen Sie in Ihren installierten Chrome-Erweiterungen nach den Erweiterungs-IDs und entfernen Sie diese.

Wenn Sie Telegram Multi-Account („obifanppcpchlehkjipahhphbcbjekfa“) verwendet haben, während Sie in Telegram Web angemeldet waren, melden Sie sich in der Telegram-Mobil-App unter „Einstellungen“, „Geräte“, „Alle anderen Sitzungen beenden“ von allen Telegram-Web-Sitzungen ab.

Wenn Sie sich mit Google bei einer Slot-Spiel-, Casino- oder Sidebar-Erweiterung angemeldet haben, betrachten Sie Ihre Google-Identität als gefährdet. Überprüfen Sie die Zugriffsrechte von Drittanbieter-Apps unter „myaccount.google.com/permissions und widerrufen Sie alle unbekannten Einträge.

Wenn Sie Text Translation („ogogpebnagniggbnkbpjioobomdbmdcj“) installiert und sich mit Ihrer E-Mail-Adresse registriert haben, sind diese E-Mail-Adresse und Ihr Name auf dem Server des Angreifers gespeichert.

Für IT-Sicherheitsteams:

Blockieren Sie die Domänen „cloudapi[.]stream“ und „top[.]rodeo“ sowie alle zugehörigen Subdomains auf Netzwerkebene. Die vollständige Liste finden Sie unter den IOCs.

Markieren Sie Chrome-Erweiterungen in Ihrer Umgebung, die die Identitätsberechtigung zusammen mit OAuth2-Client-IDs aus Google Cloud-Projektnummern 1096126762051 oder 170835003632 deklarieren.

Das „loadInfo()“-Muster ist ein klares Erkennungszeichen für bösartige Erweiterungen. Beim Start des Service-Workers schickt die Erweiterung ihre ID per POST-Anfrage an „/user_info“, bekommt eine URL („infoURL“) zurück und öffnet sie automatisch. Scannen Sie Erweiterungspakete auf die Kombination aus „user_info“, „infoURL“ und „chrome.tabs.create“.

DeclarativeNetRequest-Regeln, die die Content-Security-Policy von benannten Zielseiten entfernen, entsprechen nicht dem Standardverhalten und sollten in jeder Erweiterung überprüft werden.

Die Akteure von UNC2814 platzieren die GRIDTIDE‑Backdoor auf kompromittierten Webservern und Edge‑Systemen und lassen sie über von den Angreifern kontrollierte Google‑Tabellen als zellenbasiertes C2 kommunizieren, was ihre Aktivitäten verschleiert. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)

(ID:50815794)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Geschäftliche E-Mail

Bitte geben Sie eine gültige E-Mailadresse ein.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Stand: 08.12.2025

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Einwilligung in die Verwendung von Daten zu Werbezwecken

Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.

Recht auf Widerruf

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.