Über 100 schädliche Chrome-Erweiterungen entdeckt – getarnt als KI-Tools, VPNs und Krypto-Helfer

21. Mai 2025

Ein bislang unbekannter Cyberakteur hat innerhalb eines Jahres mehr als 100 bösartige Chrome-Erweiterungen in den Google Chrome Web Store eingeschleust. Die Erweiterungen tarnen sich als legitime KI-Werkzeuge, VPN-Dienste, Krypto-Tools oder SEO-Helfer – doch hinter der Fassade verbirgt sich Schadsoftware mit weitreichenden Zugriffsmöglichkeiten.

Laut einem aktuellen Bericht des Sicherheitsunternehmens DomainTools handelt es sich um eine groß angelegte und andauernde Malware-Kampagne. Die betroffenen Erweiterungen wirken auf den ersten Blick funktional und harmlos, übernehmen jedoch im Hintergrund eine zweite Rolle: Sie verbinden sich mit externen Servern, übermitteln Nutzerdaten, empfangen Befehle und führen beliebigen Code aus – potenziell mit schwerwiegenden Folgen für die Privatsphäre und Sicherheit der Nutzer.

Die Angriffe begannen offenbar im Februar 2024. Der Angreifer betreibt dazu eine Reihe eigens erstellter Webseiten, die den Eindruck seriöser Online-Dienste erwecken. Von dort werden Nutzer gezielt auf den Chrome Web Store weitergeleitet, um die gefälschten Erweiterungen zu installieren. Viele dieser Add-ons sind bis heute in Googles Store verfügbar.

Technisch zeichnen sich die Erweiterungen durch übermäßige Berechtigungen aus: Sie haben Zugriff auf alle besuchten Webseiten und können externen Code nachladen. Die zentrale Steuerung erfolgt über ein Netzwerk von API-Servern, die auf der Top-Level-Domain [.top] gehostet sind. In den Dateien „background.js“, „background.iife.js“ oder bei älteren Varianten „src/pages/background/index.js“ findet sich der Großteil der schädlichen Logik.

Ein besonders auffälliger Trick ist die Verwendung eines „onreset“-Handlers auf einem temporären DOM-Element, mit dem offenbar versucht wird, die Sicherheitsrichtlinien moderner Browser – etwa die Content Security Policy (CSP) – zu umgehen.

Zu den bekannten Beispielen zählen Erweiterungen wie „Deepseek AI“, „DeBank“, „Manus AI“, „Eart VPN“, „Eelephant“, „Forti VPN“ und „SiteStats“. Sie sind Teil eines ausgeklügelten Täuschungsmanövers: Die Erweiterungen funktionieren teilweise wie versprochen, ermöglichen es dem Angreifer aber gleichzeitig, Zugriffstoken zu stehlen und Nutzerverhalten umfassend auszuspähen.

Trotz bestehender Sicherheitsvorkehrungen im Chrome Web Store gelingt es dem Täter, die Überprüfungsmechanismen zu umgehen. Die Schadfunktionen werden offenbar erst nachträglich über die Server des Angreifers aktiviert.

Die Sicherheitsforscher raten Nutzern zur erhöhten Vorsicht bei der Installation neuer Browser-Erweiterungen – insbesondere, wenn diese von unbekannten Quellen stammen oder über Drittseiten beworben werden.

So umgehen Cyberkriminelle die Schutzmechanismen von Google Chrome

Trotz Googles Bemühungen, den Chrome Web Store sicherer zu machen, gelingt es Cyberkriminellen weiterhin, schädliche Erweiterungen zu verbreiten. Ein neuer Bericht zeigt, wie Hacker gezielt die aktuellen Sicherheitsvorgaben der Plattform unterlaufen – insbesondere im Zusammenhang mit dem Wechsel auf das neue Erweiterungs-Framework Manifest Version 3 (MV3).

MV3 soll eigentlich mehr Sicherheit und Effizienz bringen. Unter anderem verbietet die neue Architektur die Ausführung von remote gehostetem Code, also Code, der nachträglich von externen Servern geladen wird. „Keine remote gehosteten Codes mehr“, verspricht Google auf der offiziellen Landing Page zur neuen Plattform.

Doch genau diese Einschränkung umgehen die nun entdeckten Schad-Erweiterungen geschickt. Laut Sicherheitsforschern nutzen sie Mechanismen, mit denen sie weiterhin externen Code nachladen und ausführen können – und zwar auf jeder vom Nutzer besuchten Website.

Die Analyse zeigt: Die Erweiterungen funktionieren scheinbar wie beworben, verfügen aber gleichzeitig über weitreichende Berechtigungen. So können sie beispielsweise Inhalte auf beliebigen Webseiten manipulieren, Daten abgreifen und gezielt Tracking betreiben. Trotz unterschiedlicher Namensgebung und thematischer Tarnung gleichen sich die Codestrukturen und die Infrastruktur im Hintergrund auffällig stark – ein Hinweis auf eine koordinierte Kampagne.

Eine Schlüsselrolle spielt dabei das Skript „background.js“. Dieses ruft sogenannte „declarativeNetRequest“-Regeln vom Server des Angreifers ab. Diese Regeln erlauben es, Netzwerkaktivitäten des Browsers gezielt zu manipulieren – etwa durch das Blockieren, Umleiten oder Modifizieren von HTTP-Anfragen und -Headern.

Auf diese Weise kann der Angreifer nicht nur Tracking-Mechanismen oder bösartige Weiterleitungen einbauen, sondern auch personalisierte Werbung einschleusen – und das, ohne von der Sicherheitsprüfung des Chrome Web Store entdeckt zu werden.

Die Taktik verdeutlicht ein zentrales Problem bei der Browser-Sicherheit: Selbst mit strengeren Vorgaben wie MV3 bleiben Schlupflöcher, die von technisch versierten Angreifern ausgenutzt werden können. Sicherheitsforscher fordern daher stärkere Kontrollen sowie mehr Transparenz für Nutzer, welche Berechtigungen Erweiterungen tatsächlich verwenden.

Hintertür im Browser: Wie manipulierte Chrome-Erweiterungen sensible Nutzerdaten ausspionieren

Die Analyse bösartiger Chrome-Erweiterungen durch Sicherheitsforscher von DomainTools offenbart beunruhigende Details zur Arbeitsweise eines bislang unbekannten Angreifers. Die Schadsoftware agiert hochgradig ausgeklügelt und verfügt über Funktionen, die weit über einfache Datenspionage hinausgehen.

Im Zentrum steht ein manipuliertes Hintergrundskript, das in den untersuchten Erweiterungen entdeckt wurde. Dieses Skript übermittelt nach der Installation eine Vielzahl verschlüsselter Systeminformationen an einen Server des Angreifers – darunter Betriebssystem, Spracheinstellungen, Arbeitsspeicher, Prozessorkerne, Zeitzone, IP-Adresse sowie den Ländercode. Parallel dazu empfängt es Regelwerke und potenziell ausführbaren Code, der auf dem System des Nutzers ausgeführt werden kann.

Auch das Inhaltsskript, das automatisch in jede vom Nutzer besuchte Webseite eingebettet wird, spielt eine zentrale Rolle. Es wurde dabei beobachtet, wie es willkürlichen Code von einem externen, kompromittierten Server abrief und direkt im Browser ausführen konnte.

Ein besonders perfides Beispiel liefert eine gefälschte Erweiterung mit dem Namen Forti VPN. Zwar erfüllte sie oberflächlich einige der beworbenen Funktionen – etwa durch die Nutzung eines fest einprogrammierten API-Schlüssels eines legitimen Drittanbieters –, doch ihr Hauptzweck war ein anderer: Sie stellte eine permanente Verbindung zu einem schädlichen Backend her und wartete mithilfe eines WebSocket-Keep-Alive-Mechanismus auf Kommandos.

Auf Befehl konnte die Erweiterung alle im Browser gespeicherten Cookies extrahieren, verschlüsseln (mittels Base64) und an den Server des Angreifers übermitteln. Zudem sei es möglich gewesen, über eine zweite WebSocket-Verbindung als Proxy für den gesamten Datenverkehr des Nutzers zu fungieren – und diesen über bösartige Server umzuleiten.

Die Steuerung der Erweiterungen erfolgt über fest kodierte Backend-API-Server, in der Regel über Dateien wie background.js. Die Kommunikation ist mit gängigen Sicherheitsmechanismen wie JWT (JSON Web Token) und einer SHA-256-Signatur geschützt – nicht, um den Nutzer zu schützen, sondern um die eigene Infrastruktur zu sichern und unbefugten Zugriff auszuschließen.

Auffällig ist auch die technische Infrastruktur der Täuschungskampagne. Die zugehörigen Webseiten weisen konsistente Registrierungsmerkmale auf – darunter der Registrar NameSilo, Nameserver und Hosting bei Cloudflare sowie Zertifikate vom SSL-Aussteller WE1. Zudem nutzen viele der Seiten Facebook-Tracker-IDs, die als weitere Indikatoren für Kompromittierung im Bericht aufgeführt sind.

Google hat inzwischen mehrere der entdeckten Erweiterungen aus dem Chrome Web Store entfernt. Doch die Experten warnen: Die anhaltende Aktivität des Täters sowie die teils verzögerte Erkennung durch Googles Prüfmechanismen stellen weiterhin ein Risiko dar – besonders für Nutzer, die auf der Suche nach Produktivitäts- oder Sicherheitstools sind.

Empfehlung der Forscher: Erweiterungen sollten nur von verifizierten Entwicklern installiert werden. Nutzer sollten die angeforderten Berechtigungen stets aufmerksam prüfen und insbesondere bei KI-, VPN- oder Krypto-Erweiterungen besondere Vorsicht walten lassen. Auch der Einsatz von Antivirensoftware kann helfen, potenzielle Bedrohungen frühzeitig zu erkennen.

IOCs on GitHub

https://github.com/DomainTools/SecuritySnacks/blob/main/2025/DualFunction-Malware-Chrome-Extensions

Quellen: Cybernews &  DomainTools Investigations

---

Bild/Quelle: https://depositphotos.com/de/home.html