Im digitalen Zeitalter, in dem Webbrowser als Tor zu nahezu allen Online-Aktivitäten dienen, gewinnt die Sicherheit von Erweiterungen und Add-ons eine herausragende Bedeutung. Chrome, als einer der führenden Webbrowser weltweit, bietet Nutzern eine Vielzahl von Erweiterungen, die den Alltag erleichtern und Funktionalitäten erweitern sollen. Doch genau diese Vielfalt und Offenheit wird von Cyberkriminellen ausgenutzt: Über hundert gefälschte Chrome-Erweiterungen wurden seit Februar 2024 entdeckt, die nicht nur harmlose Dienste vortäuschen, sondern aktiv die Sicherheit und Privatsphäre der Benutzer kompromittieren. Sie kapern Browsersitzungen, stehlen Anmeldedaten und schleusen unerwünschte Werbung und schädliche Inhalte ein. Diese betrügerischen Tools offenbaren eine erschreckend ausgeklügelte Methodik und verdeutlichen, wie groß die Gefahr für die Internetnutzer ist.
Die Analyse einer auf Cyberbedrohungen spezialisierten Sicherheitsfirma zeigt, dass die Urheber dieser bösartigen Erweiterungen weitreichende technische Fähigkeiten einsetzen. Die Erweiterungen geben vor, praktische Funktionen aus verschiedenen Bereichen anzubieten, von VPN-Diensten und Banking-Tools bis hin zu Produktivitäts- und Analysewerkzeugen. Hinter dieser Fassade verbergen sich jedoch komplexe Mechanismen zur Datenextraktion und Manipulation des Nutzerverhaltens. Insbesondere nutzen diese Erweiterungen weitreichende Zugriffsrechte, die in der Datei manifest.json festgelegt werden, um uneingeschränkt auf alle besuchten Webseiten zuzugreifen und dort schädlichen Code auszuführen.
Die Betreiber bedienen sich dabei ungewöhnlicher Techniken, beispielsweise der Nutzung des sogenannten „onreset“-Ereignishandlers auf temporären DOM-Elementen. Diese Methode ermöglicht ihnen, Sicherheitsmechanismen wie die Content Security Policy (CSP), welche eigentlich die Ausführung schädlicher Skripte verhindern soll, zu umgehen. Auf diese Weise kann nahezu beliebiger Code von einem Angreifer-Server nachgeladen und ausgeführt werden. Diese Vorgehensweise macht es für Sicherheitslösungen sehr schwierig, die Bedrohung im Vorfeld zu erkennen und zu blockieren. Besonders listig ist, dass viele dieser Extensions über gefälschte Webseiten werben, die sich als bekannte und vertrauenswürdige Anbieter ausgeben.
Namen wie DeepSeek, FortiVPN, Manus oder DeBank werden missbraucht, um potenzielle Opfer über Suchmaschinen oder Social-Media-Plattformen wie Facebook anzulocken. Die Angreifer setzen hierbei auch auf Facebook-Tracking-IDs, um die Effektivität ihrer Kampagnen zu optimieren und zielgerichtet Nutzer anzusprechen. Die Manipulation des Nutzervertrauens gehört hier zu den zentralen Erfolgsfaktoren. Die kriminellen Erweiterungen erlangen dadurch Zugriff auf Browser-Cookies, die unter anderem Login-Daten und Session-Informationen enthalten. Diese Informationen werden genutzt, um Nutzerkonten kapern zu können und sich als legitimer Nutzer auszugeben.
Zusätzlich werden WebSocket-Verbindungen eingerichtet, um den gesamten Netzwerkverkehr über vom Angreifer kontrollierte Server umzuleiten. Dies kann nicht nur zur Überwachung und Manipulation von Daten führen, sondern auch als Ausgangspunkt für weitere Angriffe innerhalb einer Unternehmensinfrastruktur dienen. Interessant ist auch das Phänomen der bewussten Bewertungsmanipulation. Einige Erweiterungen leiten Nutzer, die negative Bewertungen abgeben, auf abseits gelegene, private Feedback-Formulare um, während positive Bewertungen direkt im offiziellen Chrome Web Store verbleiben. Dadurch entsteht ein verzerrtes Bild der Beliebtheit und Sicherheit der Erweiterungen.
Das erschwert es Anwendern zusätzlich, sich auf Rezensionen als Vertrauensindikator zu verlassen. Eine ergänzende Untersuchung von LayerX Security weist darauf hin, dass viele dieser Erweiterungen offenbar automatisiert mit Hilfe von Künstlicher Intelligenz erstellt wurden. Die Ähnlichkeit in Struktur, Sprache und Design legt nahe, dass durch automatisierte Prozesse eine schnelle Skalierung der Attacken möglich wurde – bei minimalem manuellen Aufwand. Diese Automatisierung stellt eine neue Ebene der Bedrohung dar, da sie es Cyberkriminellen erlaubt, in kurzer Zeit eine Vielzahl gefälschter Tools zu veröffentlichen und Nutzer breitflächig zu kompromittieren. Der Umgang mit dieser Bedrohung erfordert sowohl von Endanwendern als auch Organisationen erhöhte Wachsamkeit.
Google hat bereits zahlreiche dieser bösartigen Erweiterungen aus dem Chrome Web Store entfernt. Allerdings werden solche Erweiterungen nicht automatisch von den Geräten der Nutzer deinstalliert. Somit besteht weiterhin die Gefahr, dass infizierte Systeme unbeabsichtigt Angriffe ermöglichen oder als Ausgangspunkt für weitere Kompromittierungen dienen. Sicherheitsverantwortliche in Unternehmen sind daher angehalten, alle installierten Erweiterungen zu überprüfen und zweifelhafte Tools umgehend zu entfernen. Eine wichtige Präventionsmaßnahme ist die sorgfältige Prüfung von Erweiterungen vor der Installation.
Nutzer sollten ausschließlich Erweiterungen von verifizierten Entwicklerkonten herunterladen und die angeforderten Berechtigungen kritisch hinterfragen. Zudem ist das scrutinieren von Rezensionen und die Vorsicht vor ähnlich klingenden Namen essenziell, da Angreifer oft Lookalike-Extensions verwenden, um Anwender zu täuschen. Darüber hinaus empfiehlt es sich, in Unternehmensnetzwerken entsprechende Sicherheitsrichtlinien zu etablieren, die den Einsatz von Erweiterungen steuern und erweiterten Schutz bieten. Technische Maßnahmen, wie die Blockierung von Erweiterungen mit verdächtigen Kommunikationsmustern oder die Überwachung des Netzwerkverkehrs auf ungewöhnliche WebSocket-Verbindungen, können die Gefahr deutlich reduzieren. Die vorliegenden Ereignisse unterstreichen, wie wichtig es ist, die Sicherheitslandschaft von Browser-Erweiterungen kontinuierlich zu beobachten und rasch auf neue Bedrohungen zu reagieren.
In einer Zeit, in der Cyberkriminalität zunehmend durch Automatisierung und ausgefeilte Täuschungstechniken gekennzeichnet ist, wird der Schutz des Browsers zu einer Schlüsselmaßnahme für die gesamte Cybersicherheit. Das Bewusstsein und die Bildung der Nutzer spielen ebenfalls eine entscheidende Rolle. Nur durch umfassende Informationskampagnen und Schulungen kann das Risiko von Opferwerdung minimiert werden. Praktiken wie das Vermeiden von zweifelhaften Webseiten, das Misstrauen gegenüber unaufgeforderten Installationsaufforderungen sowie die Nutzung von Sicherheitssoftware sind unverzichtbar. Insgesamt zeigt dieser Fall, dass die Bedrohungen durch gefälschte sowie bösartige Chrome-Erweiterungen keineswegs übertrieben sind.
Sie stellen eine ernstzunehmende Gefahr dar, die den kompletten Schutz des Webzugangs unterminieren kann. Umso wichtiger ist es, dass Nutzer und Unternehmen wachsam bleiben und Sicherheitsmaßnahmen konsequent umsetzen. Nur durch solche Anstrengungen kann das Risiko von Datendiebstahl, Sitzungsmanipulation und anderen Cyberangriffen effektiv verringert werden. Dadurch wird ein sichereres Online-Erlebnis für alle ermöglicht und das Vertrauen in Browser-Ökosysteme wieder gestärkt.
