Vertraute Chrome-Add-ons wurden zu Schadsoftware umfunktioniert und stehlen Kryptowährungen sowie KI-Chats. Die IT-Sicherheitsbranche schlägt Alarm, nachdem hochvertraute Browser-Erweiterungen als getarnte Malware enttarnt wurden. Google entfernte kürzlich prominente Tools aus dem Chrome Web Store – darunter ein zuvor „hervorgehobenes“ Add-on. Dieser Vorfall markiert eine gefährliche Wende: Cyberkriminelle nutzen nicht mehr leicht erkennbare Dateien, sondern etablierte Browser-Tools für ihre Angriffe. Millionen Nutzer sind potenziell gefährdet. Analysten warnen: Das traditionelle Modell, geprüften Erweiterungen zu vertrauen, ist fundamental gescheitert.
„Hervorgehobener“ Status tarnte Schadcode
Der jüngste Auslöser für die Besorgnis ist die Entfernung der Erweiterung „Save Image as Type“ am 16. März 2026. Obwohl sie seit Monaten bösartigen Code enthielt, trug sie bis zuletzt das begehrte „Featured“-Siegel im Google Chrome Web Store. Technische Analysen zeigen: Das Tool war bis Ende 2025 völlig unbedenklich. Doch zwischen Mitte und Ende November 2025 wechselte es den Besitzer zu einer als „laurenbridgecool“ identifizierten Entität.
Angesichts der Zunahme von Schadsoftware durch manipulierte Browser-Tools wird der Schutz des eigenen Smartphones vor Datendieben immer wichtiger. Dieser Gratis-Ratgeber zeigt Ihnen, wie Sie WhatsApp, Banking und Co. mit einfachen Schritten effektiv absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken
Der neue Eigentümer veröffentlichte ein Update, das die Fähigkeit zum Einschleusen schädlicher Skripte einführte. Während konkurrierende Plattformen ihre Version des Tools bereits im Februar 2025 vorsorglich entfernten, blieb die Chrome-Version aktiv und erhielt das schädliche Update später im Jahr. Sicherheitsforscher betonen: Frühere Versionen nutzten ein leichtes Hintergrundskript. Die bösartigen Updates hingegen enthielten umfangreichen Code für schädliche Injektionen – ein Beleg dafür, wie schnell ein harmloses Werkzeug zur Waffe werden kann.
Übernommene Tools und Krypto-Diebstahl
Dem „Save Image as Type“-Vorfall ging ein weiterer hochkarätiger Fall Anfang März 2026 voraus: die Kompromittierung der Erweiterung „QuickLens“. Laut Cybersecurity-Reports wurde dieses bisher vertrauenswürdige Tool nach einem verdeckten Besitzerwechsel übernommen. Am 17. Februar 2026 spielten die neuen Betreiber ein schädliche Update an etwa siebentausend aktive Nutzer aus.
Dieses Update entfernte kritische Browser-Sicherheitsheader und machte den Nutzerverkehr anfällig für Clickjacking. Die Erweiterung kommunizierte fortan mit einem Remote-Server, der die ClickFix-Malware auslieferte. Opfer sahen sich auf Webseiten mit gefälschten Update-Warnungen konfrontiert, die gefährliche ausführbare Dateien herunterluden. Die Angreifer nutzten diese Infrastruktur, um gezielt Non-Custodial-Kryptowallets wie MetaMask und Phantom anzugreifen und erfolgreich Seed-Phrases zu stehlen. Zusätzlich erbeutete die Malware Standard-Login-Daten – ein deutlicher Hinweis auf die schwerwiegenden finanziellen Risiken kompromittierter Add-ons.
KI-Daten und Zero-Permission-Angriffe
Jenseits traditioneller Datendiebstähle zielen Cyberkriminelle zunehmend auf moderne Arbeitsabläufe mit Künstlicher IntelligenZ. Eine Analyse von Microsoft aus dem März 2026 beschreibt eine raffinierte Kampagne, bei der Angreifer bösartige Erweiterungen als Produktivitätstools tarnten. Diese Tools waren speziell darauf ausgelegt, Chat-Verläufe von großen Sprachmodellen (LLMs) abzugreifen und interne Netzwerkadressen zu erfassen.
Gleichzeitig erweitern sich die technischen Grenzen der Browser-Sicherheit. Eine im März 2026 von LayerX veröffentlichte Studie zeigte: Erweiterungen benötigen keine umfangreichen Berechtigungen, um ein System zu kompromittieren. Forscher entdeckten, dass Angreifer Zero-Permission-Erweiterungen weaponisieren können, indem sie unsichtbare Skripte an legitime Nutzer-Downloads anhängen. Startet der Nutzer die heruntergeladene Datei, initiiert das versteckte Skript eine Remote-Code-Ausführung und installiert Malware direkt auf dem Rechner. Da dieser Exploit traditionelle Berechtigungsmodelle umgeht, bleibt er für Standard-Sicherheitstools praktisch unsichtbar.
Während Browser-Erweiterungen neue Sicherheitsrisiken schaffen, lauern auch auf mobilen Geräten oft unterschätzte Gefahren durch Schadprogramme. Erfahren Sie in diesem kostenlosen Sicherheits-Leitfaden, welche fünf Maßnahmen Ihr Android-Gerät spürbar sicherer machen. Kostenlosen Android-Sicherheits-Ratgeber herunterladen
Warum Erweiterungen zum Hauptziel werden
Der übergreifende Trend zeigt einen hochorganisierten Marktplatz, auf dem Cyberkriminelle legitime Erweiterungen kaufen, um deren etablierte Nutzerbasis auszubeuten. Erweiterungen sind von Haus aus dafür konzipiert, Webseiteninhalte zu lesen und zu verändern – sie besitzen damit denselben Zugriff wie der native Code einer Website. Nutzer überprüfen das Verhalten eines Tools nach der Installation selten, was eine große Schwachstelle für Privatanwender und Unternehmens-IT gleichermaßen darstellt.
Bislang forderten schädliche Erweiterungen oft breite Berechtigungen an, um Sitzungs-Cookies zu stehlen und so die Zwei-Faktor-Authentifizierung zu umgehen. Die jüngsten Vorfälle zeigen jedoch eine taktische Weiterentwicklung. Angreifer kombinieren nun das etablierte Vertrauen in offizielle Web Stores mit fortschrittlichen Verschleierungstechniken wie verzögerter Ausführung und Zero-Permission-Exploits. IT-Sicherheitsexperten stellen fest: Eine nicht vertrauenswürdige oder neu erworbene Erweiterung zu installieren, ist funktional gleichbedeutend mit der Installation von Malware auf dem Betriebssystem. Diese Realität untergräbt den eingebauten Sandbox-Schutz des Browsers vollständig und zwingt die Branche, die Bewertung und Überwachung von Drittanbieter-Tools grundlegend zu überdenken.
Browser-Schutz im sich wandelnden Bedrohungsumfeld
Angesichts der sich entwickelnden Bedrohungslage reichen statische Analysen und Berechtigungsprüfungen nicht mehr aus. Sicherheitsexperten betonen, dass Unternehmen auf aktive, verhaltensbasierte Überwachung umsteigen müssen, um anomale Aktivitäten wie unerwartete Skript-Injektionen oder unbefugte Hintergrundkommunikation zu erkennen.
Für Privatanwender gilt der Rat zur strikten Minimalismus. Nutzer sollten ihre installierten Erweiterungen regelmäßig überprüfen und jedes nicht zwingend notwendige Tool entfernen. Fordert eine Erweiterung unerwartet neue Berechtigungen, sollten Nutzer sofort ihre Browserdaten löschen, Sitzungstokens widerrufen und die Software deinstallieren. Die Betreiber der Plattformen stehen unter wachsendem Druck, strengere Prüfverfahren einzuführen – insbesondere bei Besitzerwechseln und der kontinuierlichen Überwachung von Anwendungen mit Vertrauensstatus. Solange diese systemischen Schwachstellen nicht behoben sind, bleiben Browser-Erweiterungen ein hocheffektives Einfallstor für raffinierte Cyberangriffe.
