NEWS
Eine Kampagne mit dem Codenamen „VK Styles“ nutzt Chrome-Erweiterungen, um Account-Manipulation auf der russischen Social Media Plattform Vkontakte (VK) durchzuführen. Sicherheitsforscher von Koi Security beobachteten bereits über 500.000 Installationen, verteilt auf mehrere Erweiterungen, die überwiegend als harmlose VK-Themes bzw. Customization-Tools beworben wurden.
Opfer werden nach der Installation automatisch in Angreifer-kontrollierte Gruppen eingeschleust. Dazu liest die Extension Browser-Daten aus, extrahiert Cookies und übernimmt damit die bestehende Sitzung, ohne dass ein Passwort benötigt wird. In einigen Fällen wurden außerdem automatisierte Aktionen im Nutzerkonto beobachtet, was auf mögliche Monetarisierung, wie z. B. Spam oder Betrug hindeutet.
Die Aktivität wird einem einzelnen Akteur zugeschrieben, der unter einem Alias auf GitHub auftritt. Da Browser-Erweiterungen oft automatisch aktualisiert werden können, kann der Angreifer neue Funktionen ohne User-Interaktion hinzufügen. Installierte Erweiterungen bleiben deshalb gefährlich, bis sie aktiv entfernt werden.
Was jetzt zu tun ist:
- Erweiterungen umgehend deinstallieren
- ggf. Passwörter aktualisieren und aktive Sessions beenden
- 2FA aktivieren
- auf verdächtige Kontoaktivitäten achten
Autor: Michael Niers
