Schädliche Browser-Add-ons bedrohen Unternehmensdaten und umgehen etablierte E-Mail-Sicherheit. Angreifer nutzen den Vertrauensvorschuss für KI-Tools aus.
In einer besorgniserregenden Entwicklung für die Cybersicherheit haben Forscher eine neue Angriffswelle aufgedeckt. Kriminelle nutzen raffinierte, bösartige Browser-Erweiterungen, um sensible Geschäftsdaten abzugreifen, klassische E-Mail-Sicherheitsmaßnahmen zu umgehen und hunderttausende Nutzerkonten zu übernehmen. Ein aktueller Bericht beschreibt mehrere Kampagnen, darunter eine mit dem Namen „AiFrame“. Diese tarnt sich als hilfreiches, KI-gestütztes Werkzeug, um Geschäftskommunikation zu kompromittieren und Zugangsdaten zu stehlen. Dieser Trend markiert eine kritische Wende: Angreifer zielen zunehmend auf Schwachstellen im gesamten digitalen Ökosystem, um Unternehmenssicherheit zu untergraben.
Die Entdeckung unterstreicht die sich ständig wandelnde Bedrohungslage. Fundamentale E-Mail-Validierung ist zwar essenziell, reicht aber 2026 allein nicht mehr aus. Während Unternehmen ihre direkten E-Mail-Kanäle mit starken Authentifizierungsprotokollen schützen, nutzen Kriminelle innovativ das Nutzervertrauen in Drittanbieter-Apps wie Browser-Add-ons aus. Diese Kampagnen stehen für einen wachsenden Trend zu Multi-Channel-Angriffen. Ihr Ziel: Genau die Zugangsdaten und Daten zu stehlen, die E-Mail-Sicherheitssysteme eigentlich schützen sollen.
So funktionieren die Angriffe über Erweiterungen
Die Untersuchungen identifizierten mehrere schädliche Kampagnen. Zwei stechen durch ihr Ausmaß und ihre Methodik besonders hervor.
Die „AiFrame“-Kampagne umfasste einen Verbund von 32 verschiedenen Browser-Erweiterungen. Sie wurden als KI-Assistenten beworben, die Inhalte zusammenfassen, Chat-Funktionen bieten oder Gmail aufwerten sollten. Diese scheinbar legitimen Tools wurden insgesamt über 260.000 Mal installiert – und leiteten im Hintergrund sensible Daten ab.
Eine weitere großangelegte Kampagne mit dem Codenamen „VK Styles“ zielte auf Nutzer des sozialen Netzwerks VKontakte ab. Indem sie sich als Anpassungstools tarnten, gelang es den Erweiterungen, etwa 500.000 Nutzerkonten still zu übernehmen. Die Angreifer manipulierten Einstellungen und nutzten die kompromittierten Accounts für ihre Zwecke.
Eine separate Erweiterung namens „CL Suite“ war speziell auf Nutzer der Meta Business Suite und von Facebook Business Manager ausgelegt. Sie wurde als Werkzeug zum Datensammeln und Generieren von Zwei-Faktor-Authentifizierungscodes (2FA) vermarktet. Ihr wahrer Zweck war jedoch, eben diese 2FA-Codes, Kontaktlisten und Analysedaten direkt an die Infrastruktur der Angreifer zu senden. Dies zeigt einen hochgradig gezielten Ansatz, der auf wertvolle Geschäftskonten abzielt, die Werbung, Finanzen und Kundenkommunikation verwalten.
Der Erfolg dieser Kampagnen liegt in ihrer Fähigkeit, legitim zu erscheinen. So überzeugen sie Nutzer, ihnen weitreichende Berechtigungen zum Lesen und Ändern von Daten auf vertrauenswürdigen Websites zu erteilen.
E-Mail-Sicherheit in einem veränderten Bedrohungsumfeld
Obwohl diese Angriffe im Browser starten, ist ihre endgültige Wirkung eng mit der Sicherheit von E-Mail und Geschäftskommunikation verknüpft. Das primäre Ziel vieler solcher Attacken ist das Erbeuten von Zugangsdaten für Unternehmenssysteme wie Microsoft 365 und Google Workspace. Mit diesen Anmeldedaten können Angreifer Zugriff auf sensible E-Mails erhalten, interne Phishing-Kampagnen von vertrauenswürdigen Accounts starten und raffinierte Business Email Compromise (BEC)-Betrugsmodelle ausführen.
Diese Methode umgeht E-Mail-Gateways, da die bösartige Aktivität von einem bereits authentifizierten und vertrauenswürdigen internen Account ausgeht.
Die zunehmende Raffinesse von KI-gestütztem Phishing macht diese Bedrohung noch potenter. Angreifer nutzen generative KI, um hyper-personalisierte Spear-Phishing-E-Mails zu verfassen, die von legitimer Kommunikation kaum zu unterscheiden sind. Diese KI-gesteuerten Angriffe können auf interne Projekte verweisen und den Schreibstil von Führungskräften imitieren. Das macht es Mitarbeitern extrem schwer, sie zu erkennen. Einige Kampagnen kombinieren E-Mail sogar mit KI-generierten Telefonanrufen, um einen Multi-Channel-Angriff zu schaffen, der traditionelle Sicherheitstrainings umgeht.
Unternehmen stehen zunehmend unter Druck, KI-gestützte Phishing- und browserbasierte Angriffe zu erkennen und abzuwehren. Ein praxisorientierter, kostenloser Leitfaden erklärt konkrete Schutzmaßnahmen — von technischen Kontrollen bis zu Awareness-Maßnahmen für Mitarbeiter — und zeigt, wie Sie Ihre IT-Sicherheit ohne große Investitionen stärken können. Jetzt kostenloses Cyber-Security-E-Book herunterladen
Die unverändert wichtige Basis: E-Mail-Validierung
Das Aufkommen dieser neuen Angriffsvektoren schmälert nicht die Bedeutung grundlegender E-Mail-Sicherheits- und Validierungsstandards. Protokolle wie SPF, DKIM und DMARC bleiben das Fundament der E-Mail-Abwehr. Sie sind essenziell, um direkte Domain-Spoofing und Identitätsdiebstahl zu verhindern – immer noch gängige Taktiken bei weniger ausgeklügelten Angriffen.
Große E-Mail-Anbieter wie Google, Microsoft und Yahoo setzen diese Standards konsequent durch. Das erschwert es nicht authentifizierten E-Mails erheblich, ihr Ziel zu erreichen.
Unternehmen, die DMARC nicht auf Durchsetzungsniveau (also p=quarantine oder p=reject) implementiert haben, bleiben hochgradig anfällig für Identitätsdiebstahl. Das schädigt das Markenvertrauen und setzt Kunden Betrug aus. 2026 gilt eine DMARC-Richtlinie als Grundvoraussetzung für verlässliche E-Mail-Zustellung und Sicherheit. Die weite Verbreitung dieser Standards zwingt Angreifer dazu, alternative Infiltrationswege zu suchen – wie die kürzlich entdeckten bösartigen Browser-Erweiterungen.
Analyse: Die sich ausdehnende Angriffsfläche
Der jüngste Anstieg browserbasierter Attacken spiegelt eine strategische Neuausrichtung von Cyberkriminellen wider. Da Unternehmen ihre Perimeter- und E-Mail-Abwehr gestärkt haben, zielen Angreifer nun auf den menschlichen Faktor und die von ihm genutzten, vertrauten Tools ab.
Dieser Trend deckt sich mit breiteren Cybersecurity-Analysen aus dem Frühjahr 2026, die Social Engineering als dominanten Angriffsvektor identifizieren. Cyberkriminelle nutzen die komplexe, vernetzte Natur moderner Geschäftsabläufe aus. Mitarbeiter wechseln ständig zwischen E-Mail, Kollaborationsplattformen und verschiedenen SaaS-Tools – oft verbunden durch Browser-Erweiterungen.
Diese Ausdehnung der Angriffsfläche bedeutet, dass Sicherheit nicht mehr isoliert betrachtet werden kann. Ein ganzheitliches, identitätszentriertes Sicherheitsmodell wird notwendig. Dieser Ansatz, oft im Einklang mit Zero-Trust-Prinzipien, konzentriert sich darauf, Nutzer und Gerät an jedem Zugangspunkt zu validieren – und nicht nur den Netzwerkperimeter zu sichern.
Die AiFrame- und VK-Styles-Kampagnen beweisen: Ein kompromittierter Browser kann effektiv als „Schlüssel zum Königreich“ dienen. Selbst der sicherste E-Mail-Server wird verwundbar, wenn die Zugangsdaten des Nutzers gestohlen werden.
Ausblick: Integrierte und automatisierte Abwehr
Die Cybersicherheitslandschaft wird künftig einen stärker integrierten und automatisierten Verteidigungsansatz erfordern. Die Grenzen zwischen Bedrohungen für E-Mail, Endgeräte und Identitäten werden weiter verschwimmen.
Sicherheitsexperten sagen voraus, dass KI sowohl defensiv zur Erkennung von Anomalien im Nutzerverhalten als auch offensiv von Angreifern eingesetzt wird. Organisationen müssen weg von der Verwaltung eines komplexen Arsenals separater Sicherheitstools. Stattdessen sind konsolidierte Plattformen nötig, die Bedrohungssignale aus der gesamten digitalen Umgebung korrelieren können.
Für die E-Mail-Sicherheit im Speziellen wird der Trend zu strengerer Authentifizierung und sichtbaren Vertrauenssignalen an Fahrt gewinnen. Die Einführung von BIMI, das ein verifiziertes Markenlogo neben authentifizierten E-Mails anzeigt, dürfte zunehmen. Unternehmen wollen so Kunden versichern, dass eine Nachricht legitim ist.
Der Schlüssel zur Widerstandsfähigkeit 2026 und darüber hinaus wird eine Kombination sein: Robuste technische Kontrollen wie DMARC, kontinuierliche Mitarbeiterschulung zu neuen Bedrohungen wie schädlichen Erweiterungen und eine adaptive Sicherheitsstrategie, die Identitäten schützt – wo immer sie genutzt werden.
