Ein neuer Sicherheitsbericht enthüllt eine Welle bösartiger Browser-Erweiterungen, die Nutzerdaten ausspähen. Die Schadsoftware tarnt sich im offiziellen Chrome Web Store als nützliches Tool und nutzt ausgeklügelte Tarnmethoden.
Die Analyse zeigt mehrere Erweiterungen, die ohne Einwilligung der Nutzer hochriskante Aktivitäten durchführen. Dazu gehören das Auslesen der Zwischenablage und die Kommunikation mit externen Kommando-Servern. Diese Kampagne ist Teil eines anhaltenden Trends: In den letzten Wochen waren bereits Millionen Nutzer von ähnlichen Angriffen betroffen.
Tarnkappen-Strategie: Gefahr im vermeintlich harmlosen Tool
Die Bedrohung ist oft schwer zu erkennen. Eine Erweiterung namens „Good Tab“ gab sich als anpassbare Startseite mit Wetter und News aus. Ihr Code erlaubte jedoch einer externen Domain vollen Zugriff auf die Zwischenablage. So könnten Angreifer kopierte Passwörter, Finanzdaten oder Nachrichten abfangen.
Viele Unternehmen und Nutzer sind nicht ausreichend gegen Browser-basierte Angriffe geschützt. Kampagnen wie „GhostPoster“ zeigen, wie Erweiterungen heimlich Daten abgreifen oder Tracking‑Skripte einschleusen. Dieses kostenlose E‑Book fasst aktuelle Cyber‑Security‑Trends zusammen, erklärt typische Angriffswege (inkl. bösartige Browser‑Add‑ons) und liefert sofort umsetzbare Schutzmaßnahmen – vom Monitoring bis zur Mitarbeiterschulung. Ideal für IT‑Verantwortliche, Geschäftsführer und Sicherheitsinteressierte, die ohne große Investitionen die Abwehr stärken wollen. Jetzt kostenloses Cyber-Security-E-Book herunterladen
Die Schadsoftware setzt auf raffinierte Tarnmethoden. Einige Erweiterungen nutzen eine Kommando-Infrastruktur, über die Angreifer ferngesteuert Befehle an den infizierten Browser senden. Das ermöglicht Suchmanipulation, das Ausspähen von Sitzungen, Betrug mit Werbung oder sogar die Ausführung von Schadcode. Sicherheitsexperten haben die Erweiterungen bereits an Google gemeldet.
Kein Einzelfall: Parallel laufen großangelegte Kampagnen
Dieser Fund ist keine Ausnahme. Zeitgleich machte das Cybersecurity-Unternehmen LayerX am 25. Januar 2026 die Kampagne „GhostPoster“ öffentlich. Dabei handelte es sich um mindestens 17 bösartige Erweiterungen für Chrome, Firefox und Edge mit über 840.000 Installationen. Einige, wie „Google Translate in Right Click“, blieben bis zu fünf Jahre unentdeckt.
„GhostPoster“ nutzte hochmoderne Techniken. Die Angreifer versteckten ihren Schadcode mittels Steganografie in Bilddateien, um Sicherheitsprüfungen zu umgehen. Oft warteten die Erweiterungen wochenlang, bevor sie ihre schädlichen Funktionen aktivierten. Dann spritzten sie Tracking-Skripte ein, kaperten Affiliate-Marketing-Traffic und schwächten Websicherheitsrichtlinien.
Die große Gefahr der „Schlafagenten“
Das Hauptproblem ist die „Schlafagenten“-Taktik. Kriminelle veröffentlichen zunächst eine saubere, funktionale Erweiterung. Sie baut sich über Monate einen guten Ruf und eine große Nutzerbasis auf. Ist das Vertrauen erst etabliert, liefern die Entwickler ein bösartiges Update nach. So wird die bereits installierte Software zur Waffe. Diese Methode macht es automatischen Scannern und Nutzern gleichermaßen schwer, die Gefahr rechtzeitig zu erkennen.
Die potenziellen Schäden reichen von Wirtschaftsspionage bis zur vollständigen Systemübernahme. In einer weiteren Kampagne Mitte Januar gab sich die Erweiterung NexShield als beliebter Werbeblocker aus. Sie stürzte den Browser absichtlich ab und trickste Nutzer dazu aus, ein Fernzugriffs-Trojaner zu installieren. So verschafften sich Angreifer einen Hintereingang in Firmennetzwerke.
So schützen Sie sich vor infizierten Erweiterungen
Die Browser-Hersteller Google, Microsoft und Mozilla entfernen die gemeldeten Erweiterungen zwar aus ihren Stores. Das deinstalliert sie aber nicht von den Rechnern der betroffenen Nutzer. Sicherheitsexperten raten zu folgenden Schutzmaßnahmen:
- Erweiterungen überprüfen: Gehen Sie regelmäßig Ihre installierten Browser-Add-ons durch. Deinstallieren Sie unbekannte oder nicht mehr genutzte Erweiterungen.
- Berechtigungen prüfen: Bevor Sie eine Erweiterung installieren, sehen Sie sich die angeforderten Berechtigungen genau an. Seien Sie misstrauisch, wenn diese nichts mit der beworbenen Funktion zu tun haben.
- Kontenaktivität beobachten: Bei Verdacht auf einen Angriff sollten Sie sofort die Passwörter für sensible Konten wie Online-Banking und E-Mail ändern und die Zwei-Faktor-Authentifizierung aktivieren.
- Browser-Daten löschen: Das Leeren von Verlauf, Cookies und Cache kann Tracking-Kennungen beseitigen, die von Schadsoftware gesetzt wurden.
- Sicherheitssoftware nutzen: Führen Sie einen vollständigen System-Scan mit einer vertrauenswürdigen Sicherheitslösung durch.
Die Plattformen arbeiten zwar an besseren Schutzmechanismen. Letztlich liegt die wirksamste Verteidigung jedoch bei den Nutzern selbst. Diese Betrugskampagnen zeigen deutlich: Browser-Erweiterungen verdienen die gleiche kritische Prüfung wie jede andere Software.
PS: Schützen Sie sich gezielt vor infizierten Browser‑Erweiterungen: Ein kompakter Leitfaden zeigt in vier klaren Schritten, wie Sie Angriffsflächen reduzieren, verdächtige Add‑ons identifizieren und Ihre Systeme im Alltag schützen. Enthalten sind Checklisten für schnelle Kontrollen und Praxis‑Tipps zur Sensibilisierung von Mitarbeitern. Besonders geeignet für mittelständische Unternehmen und IT‑Teams, die pragmatische Maßnahmen suchen. Kostenlosen Leitfaden zur Cyber-Sicherheit sichern
