Die Beliebtheit von Google Chrome als Browser bringt nicht nur Vorteile, sondern öffnet auch Angreifern eine breite Angriffsfläche. Aktuelle Untersuchungen von DomainTools Intelligence (DTI) haben alarmierende Erkenntnisse ergeben: Mehr als 100 bösartige Erweiterungen für Chrome sind aktiv im Umlauf und nutzen ausgeklügelte Methoden, um unbemerkt Daten zu stehlen und die Kontrolle über Benutzersitzungen zu übernehmen. Diese Gefahr richtet sich an Millionen von Nutzern weltweit und zeigt ein bedrohliches Ausmaß moderner Cyberkriminalität. Diese Erweiterungen tarnen sich geschickt als nützliche Tools wie VPN-Dienste, Krypto-Wallets oder KI-Assistenzprogramme. Dabei versprechen sie erweiterte Funktionen zur Verbesserung der Nutzererfahrung, etwa durch Schutz der Privatsphäre oder Hilfe bei der Online-Arbeit.
Der große Trugschluss entsteht jedoch dadurch, dass sie im Hintergrund schädlichen Code ausführen, der Cookies abgreift und Fernzugriffe auf den Browser ermöglicht. Nutzer bemerken oft erst spät, dass ihr Browser kompromittiert wurde. Die Verbreitung dieser Schadsoftware begann laut Experten im Februar 2024. Die Täter verwenden gefälschte Webseiten, die legitimen Online-Diensten täuschend ähnlich sehen. Namen bekannter Marken und bekannter Services werden missbraucht, um Vertrauen zu erzeugen.
Webseiten, die sich beispielsweise als DeepSeek, Manus, DeBank oder FortiVPN ausgeben, fungieren als Lockmittel, um Nutzer zum Download und Installieren der schädlichen Erweiterungen zu verleiten. Auch populäre Social-Media-Plattformen spielen offenbar eine Rolle bei der Verbreitung – Facebook-Gruppen und Werbeanzeigen bieten perfekte Kanäle, um ein breites Publikum anzusprechen. Ein besonders gefährliches Element dieser Malware ist die Nutzung des Manifest.json-Files, das zu viel Macht an die Erweiterung selbst überträgt. So können Schadfunktionen auf jede besuchte Internetseite zugreifen, beliebige Skripte von fremden Servern laden und ausführen oder den Traffic manipulieren.
Die Erweiterungen arbeiten mit einem WebSocket-Proxy, der den Datenverkehr über kontrollierte Server lenkt, was die Entdeckung zusätzlich erschwert und die Datenweitergabe an Cyberkriminelle garantiert. Die Zugriffsmethoden sind dabei äußerst raffiniert. Ein besonderes Augenmerk liegt auf der Ausnutzung von DOM-Ereignissen, unter anderem dem onreset-Event, welches normalerweise für das Zurücksetzen von Formularen genutzt wird. Mittels dieser Technik gelingt es den Angreifern, Sicherheitsrichtlinien wie die Content Security Policy (CSP) zu umgehen. Das erlaubt die Ausführung schädlichen Codes trotz geltender Beschränkungen und erhöht die Gefahr für Nutzer maßgeblich.
Neben dem Diebstahl von Cookies und Anmeldedaten führen die Erweiterungen weitere schädliche Aktionen durch. Dazu zählen das Einblenden unerwünschter Werbung, das Verändern von Webseiteninhalten, Weiterleitungen auf Phishing-Seiten oder sogar das Manipulieren der Webseiten-Struktur (DOM-Manipulation). Nutzer können so unwissentlich auf gefährliche oder betrügerische Seiten geleitet werden, was das Risiko eines Identitätsdiebstahls oder finanzieller Verluste massiv erhöht. Die Entdeckung dieser umfangreichen Schadkampagne hat Google dazu veranlasst, nahezu alle betroffenen Erweiterungen aus dem Chrome Web Store zu entfernen. Dennoch bleibt die Gefahr bestehen, da viele Anwendungen auch über externe Webseiten verbreitet werden.
Daher ist es wichtig, besonders vorsichtig zu sein, wenn man Erweiterungen aus unbekannten Quellen installiert oder auf Webseiten verweilt, die nicht vertrauenswürdig erscheinen. Auf GitHub pflegt DomainTools eine Liste der schädlichen Domains, die mit diesen betrügerischen Erweiterungen in Verbindung stehen. Dazu gehören unter anderem earthvpn.top, iron-tunnel.com, raccoon-vpn.
world und weitere. Einige Domains imitieren populäre Dienstnamen oder kombinieren bekannte Begriffe, um seriös zu wirken. Nutzer sollten diese Webseiten strikt meiden. Es ist ebenfalls erwähnenswert, dass bestimmte Dienste und Plattformen, die bei der Verbreitung dieser Malware als Werbeträger genutzt wurden, in einigen Ländern verboten oder anders reguliert sind. So gilt beispielsweise die Firma Meta in Russland als extremistisch und ist dort untersagt.
Nichtsdestotrotz werden Plattformen wie Facebook weiterhin für zielgerichtete Ads und vernetzte Verbreitungswege missbraucht. Für Endanwender heißt das: höchste Vorsicht bei der Installation von Browser-Erweiterungen. Vor allem sollte man darauf achten, ob Erweiterungen über offizielle Kanäle installiert werden und wie viele Bewertungen und Rezensionen es gibt. Professionelle Sicherheitssoftware und Browser-Updates können zusätzlichen Schutz bieten. Ebenso empfiehlt sich eine regelmäßige Überprüfung installierter Erweiterungen und das sofortige Entfernen verdächtiger Programme.
Unternehmen und IT-Abteilungen sollten verstärkt Awareness-Trainings durchführen, um Mitarbeiter vor solchen Bedrohungen zu schützen. Ein sicherer Umgang mit Internetressourcen und das Verständnis über mögliche Risiken sind grundlegend, um Datenverlust und Sicherheitsvorfälle zu vermeiden. Bei Verdacht auf eine Infektion durch solche Erweiterungen sind sofortige Gegenmaßnahmen wie das Ändern von Passwörtern, erneutes Scannen auf Malware und Kontaktaufnahme mit Sicherheitsexperten ratsam. Die Entwicklung zeigt, dass Cyberkriminelle zunehmend auffällige, aber dennoch wirkungsvolle Methoden einsetzen, um Nutzer zu täuschen und zu kompromittieren. Die Kombination aus getarnten Erweiterungen, gefälschten Webseiten sowie dem Einsatz von Social-Media-Plattformen zur Verbreitung stellt eine ernsthafte Bedrohung dar.
Es liegt an jedem Nutzer und jeder Organisation, wachsam zu bleiben und präventive Maßnahmen zu ergreifen, um die Sicherheit der eigenen digitalen Umgebung zu gewährleisten. Die beschriebenen Ereignisse unterstreichen eindrucksvoll, wie wichtig ein ganzheitliches Sicherheitskonzept im Umgang mit Browsertools ist. Die Verantwortung für den Schutz persönlicher und sensibler Daten beginnt bei der Wahl der Software und hört bei den individuellen Nutzungsgewohnheiten nicht auf. Technologien wie Content Security Policies, regelmäßige Updates und das Bewusstsein für Social Engineering sind wichtige Bausteine in der Verteidigung gegen solche Angriffe. Die Analyse und Veröffentlichung der bedrohten Domains sowie der betroffenen Erweiterungen durch DomainTools Intelligence bieten einen wichtigen Schritt, um Transparenz zu schaffen.
Dennoch bleibt diese Malware-Kampagne ein laufendes Problem, das kontinuierliche Aufmerksamkeit von Anwendern, Entwicklern und Sicherheitsforschern erfordert. Nur durch gemeinsames Handeln und informierte Entscheidungen kann die Verbreitung solcher gefährlichen Erweiterungen dauerhaft eingedämmt werden.
