Eine großangelegte Malware-Kampagne hat Hunderttausende Nutzer über schädliche Browser-Erweiterungen infiltriert. Die als GhostPoster bekannte Schadsoftware nutzte raffinierte Tarnmethoden, um Sicherheitsprüfungen zu umgehen und Browser für finanzielle Zwecke zu kapern.
Tarnkappen-Strategie mit verstecktem Code
Das Erfolgsgeheimnis der Kampagne liegt in der Anwendung von Steganografie. Dabei verstecken die Angreifer bösartigen JavaScript-Code in harmlos wirkenden PNG-Bilddateien, oft dem Logo der Erweiterung selbst. Ein Skript extrahiert diese versteckte Nutzlast beim Laden und startet einen mehrstufigen Angriff.
Die Malware arbeitet mit bemerkenswerter Geduld, um Entdeckung zu vermeiden. Sie kann bis zu 48 Stunden zwischen Kontaktaufnahmen mit ihrem Steuerungsserver warten. Einige Varianten sollen sogar mehr als sechs Tage nach der Installation inaktiv bleiben, bevor sie ihre schädlichen Funktionen aktivieren. Dieses probabilistische Verhalten erschwert die Identifizierung in kontrollierten Sicherheitstests erheblich.
Solche versteckten Angriffe treffen zivile Nutzer und Unternehmen gleichermaßen – und oft reicht ein einziges kompromittiertes Add‑on. Ein kostenloser Cyber‑Security-Report erklärt, welche einfachen Kontrollpunkte IT‑Verantwortliche sofort prüfen sollten, wie verdächtiges Browser‑Verhalten erkannt wird und welche Sofortmaßnahmen das Risiko deutlich senken. Praktische Checklisten und umsetzbare Maßnahmen für kleine und mittlere Unternehmen. Jetzt kostenlosen Cyber‑Security‑Report sichern
Massive Reichweite und lukrative Schadfunktionen
Neue Erkenntnisse zeigen das erschreckende Ausmaß: Mindestens 17 Erweiterungen in den offiziellen Stores von Chrome, Firefox und Microsoft Edge haben insgesamt etwa 840.000 Installationen erreicht. Einige dieser Add-ons waren bereits seit 2020 in den Stores verfügbar – ein Beleg für die langfristige Persistenz der Operation.
Was macht die Malware konkret? Ihr Hauptziel ist die heimliche Monetarisierung des Browserverkehrs:
* Affiliate-Link-Hijacking: Sie ersetzt legitime Partner-Codes auf E-Commerce-Seiten durch eigene, um Provisionen abzugreifen.
* Ad-Betrug: Durch das Einfügen unsichtbarer Iframes generiert sie betrügerische Klicks und Werbeeinnahmen.
* Überwachung: Sie protokolliert das gesamte Nutzer-Browsing.
* Sicherheitskompromittierung: Sie entfernt kritische Sicherheits-Header wie Content-Security-Policy und macht Nutzer so anfälliger für weitere Angriffe.
Reaktion der Browser-Hersteller und Handlungsbedarf
Google, Mozilla und Microsoft haben die identifizierten Erweiterungen inzwischen aus ihren Stores entfernt. Doch hier liegt das Kernproblem: Die Sicherheitsprotokolle deinstallieren die Add-ons nicht automatisch von den Geräten der betroffenen Nutzer.
Die Verantwortung liegt jetzt beim Einzelnen. Nutzer müssen ihre installierten Erweiterungen selbst überprüfen und verdächtige Add-ons manuell entfernen. Für Unternehmen ist die Gefahr besonders groß: Ein kompromittierter Browser kann als Einfallstor in das Firmennetzwerk dienen.
Browser-Erweiterungen als neues Schlachtfeld
Der GhostPoster-Vorfall unterstreicht eine wachsende Bedrohungslage. Angreifer nutzen das Vertrauen in offizielle Stores aus und verpacken Malware in scheinbar nützliche Anwendungen. Die Kampagne zeigt zudem eine klare Entwicklung: Neuere Varianten sind modularer und resilienter gegen Erkennung.
Was bedeutet das für die Zukunft? Der Browser bleibt ein zentrales Angriffsziel. Für Nutzer und Unternehmen gilt gleichermaßen: Vorsicht bei der Installation von Erweiterungen, regelmäßige Überprüfungen und Skepsis gegenüber unnötig weitreichenden Berechtigungen sind essenziell. Proaktive Sicherheitsmaßnahmen, die verdächtiges Browser-Verhalten überwachen, gewinnen weiter an Bedeutung.
PS: Für Führungskräfte und IT‑Teams lohnt sich ein kurzer Blick in die praxisorientierten Schutzmaßnahmen: Der Gratis‑Report fasst aktuelle Cyber‑Bedrohungen zusammen, zeigt, wie Sie Angriffsflächen im Browser reduzieren und welche einfachen Policies Sofortwirkung zeigen — ideal für die schnelle Absicherung ohne große Investitionen. Kostenlosen Cyber‑Security‑Report herunterladen
