Google Chrome wird zur Zielscheibe von Cyberkriminellen. In dieser Woche eskalieren die Angriffe auf den beliebten Browser durch gekaperte und gefälschte Erweiterungen. Dahinter steckt ein boomender Markt für Malware-as-a-Service.
Die Bedrohungslage für Nutzer des weltweit meistgenutzten Browsers hat sich dramatisch verschärft. Sicherheitsforscher deckten am 9. März 2026 gleich zwei gefährliche Angriffsmuster auf: Die Übernahme legitimer Erweiterungen durch Kriminelle und eine raffinierte Phishing-Kampagne mit einer gefälschten Krypto-Wallet. Diese Vorfälle offenbaren eine wachsende Schwachstelle in der Lieferkette des Browser-Ökosystems.
Angesichts der zunehmenden Angriffe auf Browser-Erweiterungen und sensible Login-Daten ist ein proaktiver Schutz der eigenen IT-Infrastruktur für Betriebe unerlässlich. Dieser Experten-Report enthüllt effektive Strategien gegen Cyberkriminelle, ohne dass Ihr Budget explodieren muss. Wie mittelständische Unternehmen sich gegen Cyberkriminelle wappnen
Gekaperte Erweiterungen nach Verkauf
Besonders alarmierend ist die Waffe, die aus etablierten Chrome-Erweiterungen gemacht wird. Laut aktueller Threat-Intelligence-Berichte wurden die Tools QuickLens und ShotBird bösartig, nachdem ihre ursprünglichen Entwickler die Rechte an unbekannte Dritte übertragen hatten.
QuickLens, ein Bildersuch-Werkzeug mit rund 7.000 Nutzern, trug einst das begehrte „Featured“-Abzeichen im Chrome Web Store. Nach dem Verkauf Anfang Februar 2026 spielten die neuen Eigentümer ein schädliches Update aus. Dieses entfernte kritische Sicherheitsheader des Browsers und ermöglichte so die Einschleusung von Schadcode. Die kompromittierte Erweiterung kommunizierte mit externen Servern, um Krypto-Wallet-Daten, Login-Zugänge und Formularinformationen abzugreifen.
Das Schicksal der ShotBird-Erweiterung mit etwa 800 Nutzern war ähnlich. Sie zeigte plötzlich gefälschte Chrome-Update-Hinweise an. Folgten Nutzer diesen Anweisungen, luden sie unwissentlich eine schädliche Nutzlast herunter, die Tastatureingaben protokollierte und gespeicherte Browserdaten auslas.
Gefälschte imToken-Erweiterung jagt Krypto-Wallets
Parallel zu diesen Supply-Chain-Angriffen setzen Kriminelle auf komplett neue, trügerische Erweiterungen. Forscher enttarnten am vergangenen Wochenende die bösartige Chrome-Erweiterung „lmΤoken Chromophore“. Sie gab sich als harmloses Farbwerkzeug für Entwickler aus, ihr eigentliches Ziel war jedoch der Diebstahl von Kryptowährungen.
Die Erweiterung imitierte die populäre, nicht verwahrende Wallet imToken – obwohl diese offiziell nur als Mobile App existiert und keine Chrome-Erweiterung anbietet. Die fälschung nutzte das offizielle Branding und gefälschte Fünf-Sterne-Bewertungen, um Vertrauen vorzutäuschen.
Nach der Installation leitete sie Opfer automatisch auf eine raffinierte Phishing-Seite um. Diese forderte die Eingabe der 12- oder 24-Wort-Seed-Phrase oder des privaten Schlüssels. Nach dem Abgriff der sensiblen Daten wurden die Nutzer unauffällig zur echten imToken-Website weitergeleitet. Die Angreifer konnten die kompromittierten Wallets im Hintergrund leerräumen, ohne sofortigen Verdacht zu erregen.
AuraStealer: Die Malware-Industrie professionalisiert sich
Die schnelle Verbreitung dieser schädlichen Erweiterungen wird durch die boomende Malware-as-a-Service (MaaS)-Ökonomie befeuert. Im März 2026 rückte der aggressive Aufstieg von AuraStealer in den Fokus. Dieser modulare Infostealer gilt als gefährlicher Nachfolger der berüchtigten LummaC2-Malware.
AuraStealer operiert nach einem Abonnementmodell. Cyberkriminelle mieten eine polierte Management-Oberfläche und eine einsatzbereite Infrastruktur. Das senkt die technische Einstiegshürde für komplexe Angriffe erheblich. Aktuelle Analysen zeigen, dass AuraStealer-Betreiber mindestens 48 aktive Command-and-Control-Domains nutzen. Die Malware ist darauf spezialisiert, gespeicherte Zugangsdaten, Session-Cookies und Wallet-Daten aus über 100 verschiedenen Anwendungen zu erbeuten.
Da Kriminelle immer öfter fertige Schadprogramme nutzen, um gezielte Phishing-Attacken auf Unternehmen zu starten, wird eine strukturierte Abwehr zur Pflicht. Dieser kostenlose Guide zeigt Ihnen in 4 Schritten, wie Sie branchenspezifische Gefahren erkennen und Ihre Organisation wirksam absichern. In 4 Schritten zur erfolgreichen Hacker-Abwehr
Browser als neues Hauptziel
Für Branchenanalysten markieren diese Vorfälle einen grundlegenden Wandel. Da Unternehmensnetzwerke besser geschützt und Betriebssysteme widerstandsfähiger werden, rückt der Webbrowser zum primären Angriffsvektor auf. Erweiterungen sind dabei besonders gefährlich, weil sie umfangreichen Zugriff auf Web-Traffic, Seiteninhalte und authentifizierte Nutzersitzungen haben.
Die Fälle QuickLens und ShotBird offenbaren eine gravierende Schwachstelle im Chrome Web Store. Für Kriminelle ist der Kauf einer Erweiterung mit bestehender Nutzerbasis und gutem Ruf effektiver, als selbst eine Community aufzubauen. Bei einem Eigentümerwechsel werden Nutzer selten benachrichtigt. Automatische Update-Mechanismen liefern den schädlichen Code nahtlos auf Tausende Rechner.
Herkömmliche Antiviren-Lösungen haben oft Probleme, diese Bedrohungen zu erkennen. Die schädliche Nutzlast ist meist nicht direkt im Erweiterungscode eingebettet, sondern wird während der Laufzeit dynamisch von entfernten Servern nachgeladen.
Was Nutzer jetzt tun können
Die Häufigkeit browserbasierter Supply-Chain-Angriffe wird voraussichtlich weiter zunehmen. Der Druck auf Google wächst, strengere Prüfverfahren für Eigentümerwechsel im Chrome Web Store und granularere Berechtigungskontrollen für Erweiterungen einzuführen.
Unternehmen sollten restriktive Richtlinien für Browser-Add-ons einführen und Installationen auf eine streng geprüfte Positivliste beschränken. Für Privatanwender reicht der klassische Rat, Bewertungen zu prüfen und Entwickler zu verifizieren, nicht mehr aus. Kriminelle kaufen aktiv vertrauenswürdige Entwicklerkonten und fälschen Bewertungen.
Eine kritische Verteidigungsstrategie ist die kontinuierliche Überwachung des Erweiterungsverhaltens und die sofortige Deinstallation nicht benötigter Browser-Tools. In einer Zeit, in der Cyberkriminelle die vertraute Browserumgebung für ausgeklügelte Malware-Kampagnen missbrauchen, ist gesunde Skepsis der beste Begleiter.
