Chrome-Erweiterungen: Neue Malware-Welle bedroht Hunderttausende

Hunderttausende Nutzer sind durch manipulierte Chrome-Erweiterungen gefährdet. Cybersicherheitsforscher decken mehrere Kampagnen auf, die sensible Daten stehlen – von Browser-Cookies über Affiliate-Provisionen bis hin zu Zugängen für KI-Konten wie ChatGPT. Die schädlichen Add-ons tarnen sich oft als seriöse Tools wie Werbeblocker und nutzen das Vertrauen der Nutzer aus.

Gefährliche Schleichwege in den offiziellen Store

In den letzten Wochen haben Sicherheitsexperten vor mehreren Bedrohungs-Kampagnen gewarnt, die über den offiziellen Chrome Web Store operieren. Angreifer nutzen Browser-Erweiterungen zunehmend als effektiven Weg für Datendiebstahl und Betrug. Die Aktivitäten reichen vom Umleiten von Affiliate-Links bis zum Einrichten von Hintertüren für Spionage.

Eine besonders perfide Methode ist die „CrashFix“-Kampagne, die Microsoft-Experten im Januar 2026 identifizierten. Hier locken schädliche Werbeanzeigen Nutzer mit einem angeblichen Werbeblocker in den Store. Nach der Installation lässt die Erweiterung – die oft bekannte Tools wie uBlock Origin Lite imitiert – den Browser absichtlich abstürzen.

Im Anschluss folgt ein Social-Engineering-Trick: Unter dem Vorwand einer Fehlerbehebung werden Nutzer dazu gebracht, selbst schädliche Befehle auszuführen. Dies ermöglicht die Installation eines Python-basierten Remote Access Trojaners (RAT), der Angreifern dauerhafte Kontrolle über das System verschafft.

Warum 73% der deutschen Unternehmen auf Cyberangriffe nicht vorbereitet sind – und genau solche manipulativen Browser‑Erweiterungen gehören zu den größten Schwachstellen. Der kostenlose E‑Book‑Report erklärt aktuelle Cyber‑Security‑Trends, wie Angreifer Extensions, Affiliate‑Manipulation und KI‑Token ausnutzen, und liefert sofort umsetzbare Schutzmaßnahmen. Mit konkreten Checklisten für IT‑Verantwortliche können Sie Datenverlust und Kontoübernahmen verhindern – ohne große Investitionen. Der Leitfaden ist praxisnah für Unternehmen, aber auch verantwortliche Privatanwender geeignet. Jetzt kostenlosen Cyber‑Security‑Report anfordern

Affiliate-Betrug und Diebstahl von KI-Zugängen

Ein weiteres großes Risiko geht von einem Netzwerk aus mindestens 29 verbundenen Erweiterungen aus. Diese stehlen nicht nur Daten, sondern manipulieren auch Affiliate-Links. Die Erweiterung „Amazon Ads Blocker“ blockierte zwar Werbung, führte aber heimlich den eigenen Affiliate-Tag des Entwicklers in Amazon-Links ein. So wurden Provisionen von Content-Erstellern umgeleitet.

Das Netzwerk zielt auf zahlreiche E-Commerce-Riesen wie AliExpress, Best Buy und Walmart ab. Parallel dazu haben Angreifer KI-Tools im Visier: Forscher fanden mindestens 16 Erweiterungen, die gezielt Authentifizierungs-Tokens für ChatGPT-Konten stehlen. Mit diesen Session-Tokens erhalten Angreifer vollen Zugriff auf den Account – inklusive der gesamten Gesprächsverlauf und potenziell sensibler Daten.

Staatliche Akteure und kompromittierte Entwickler-Konten

Die Bedrohung kommt nicht nur von finanziell motivierten Cyberkriminellen. Der fortschrittliche PowerShell-Backdoor TAMECAT wird der iranischen, staatlich unterstützten Hackergruppe APT42 zugeschrieben. Das Tool stiehlt Login-Daten direkt aus Chrome- und Edge-Browsern und dient der Langzeit-Spionage gegen hochrangige Personen in Regierung und Verteidigung.

Diese Vorfälle bauen auf einer großen Kampagne von Ende 2024 auf: Damals kompromittierten Angreifer durch gezieltes Phishing die Konten legitimer Chrome-Entwickler. Nachdem sie Entwickler dazu brachten, einer schädlichen OAuth-App Berechtigungen zu erteilen, konnten sie manipulierte Versionen populärer Erweiterungen in den Store hochladen. So stahlen sie Browser-Cookies und Zugangsdaten für Plattformen wie Facebook – mit potenziell Millionen betroffener Nutzer.

So können sich Nutzer schützen

Das Problem: Erweiterungen werden oft mit weitreichenden Berechtigungen installiert, um Daten auf besuchten Websites zu lesen und zu ändern. Angreifer nutzen das Vertrauen in den offiziellen Store aus und schleusen schädlichen Code oft erst durch ein späteres Update ein – als „Schläfer“.

Sicherheitsexperten raten Nutzern zu diesen Schritten:
* Führen Sie regelmäßig eine Bestandsaufnahme Ihrer installierten Erweiterungen durch.
* Entfernen Sie alle nicht benötigten oder verdächtigen Add-ons.
* Prüfen Sie vor der Installation kritisch die angeforderten Berechtigungen. Ein einfaches Tool, das umfangreichen Zugriff auf Browserdaten bittet, ist ein Warnsignal.
* Bei Verdacht auf einen Kompromittierung sofort handeln: Schädliche Erweiterung entfernen, alle Browser-Cookies und Site-Daten löschen und Passwörter für sensible Konten (E-Mail, Banking, Soziale Medien) ändern.

Ein anhaltendes Risiko

Die wachsende Abhängigkeit von browserbasierten Anwendungen und KI-Assistenten bedeutet, dass schädliche Erweiterungen eine anhaltende und sich wandelnde Bedrohung bleiben. Angreifer verfeinern ihre Social-Engineering-Methoden und finden neue Wege, Sicherheitsprüfungen der Web-Stores zu umgehen.

Nutzer sollten daher kritischer bei der Installation von Add-ons sein und Erweiterungen von seriösen Entwicklern priorisieren. Für Google und andere Browser-Hersteller liegt die Herausforderung darin, die Überprüfungsprozesse für Erweiterungen und deren Updates zu verbessern. Die Bequemlichkeit von Browser-Erweiterungen kann, wie diese Kampagnen zeigen, einen hohen Sicherheitspreis haben.

PS: Nutzen Sie Browser‑Extensions oder KI‑Dienste wie ChatGPT? Ein kompakter Guide zeigt, wie Sie gestohlene Authentifizierungs‑Tokens, manipulierte Affiliate‑Links und versteckte Backdoors erkennen und schnell sichern. Enthalten sind Schritt‑für‑Schritt‑Anleitungen zum Aufspüren gefährlicher Add‑ons, zum Bereinigen von Browser‑Daten und zur Absicherung sensibler Konten. Holen Sie sich die praktische Checkliste für sofortige Gegenmaßnahmen. Cyber‑Security‑Guide jetzt sichern