Google Docs wird zur Waffe: Neue Angriffswelle bedroht Unternehmen

Sicherheitsforscher schlagen Alarm.

Die GlassWorm-Kampagne: Wenn die Browser-Erweiterung zum Spion wird

Im Zentrum der aktuellen Bedrohungslage steht die GlassWorm-Kampagne, ein mehrstufiges Schadsoftware-Framework, das auf umfassenden Datendiebstahl abzielt. Die Angreifer verschaffen sich ersten Zugriff über manipulierte Pakete auf Plattformen wie npm, GitHub und Open VSX. Ist ein Entwicklersystem erst einmal kompromittiert, installiert die Malware zwangsweise eine Google-Chrome-Erweiterung namens „Google Docs Offline".

Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen — ein kostenloses E-Book zeigt, welche neuen Bedrohungen auf Sie zukommen und wie Sie sich ohne großes Budget schützen. IT-Sicherheit stärken und Unternehmen schützen

Diese täuschend echte Erweiterung kann Tastatureingaben protokollieren, Screenshots erstellen und Sitzungstoken stehlen. Besonders perfide: Die Steuerung der Schadsoftware erfolgt über die Solana-Blockchain. In den Memos der Kryptowährung verstecken die Angreifer ihre Befehle, was die Abwehr massiv erschwert.

Das Ausmaß der Überwachung ist alarmierend. Die Erweiterung analysiert gezielt authentifizierte Sitzungen bei Finanzdienstleistern und internen Unternehmensportalen. Sie saugt das komplette Document Object Model (DOM) aktiver Browser-Tabs ab – die Angreifer sehen also alles, was das Opfer im Browser aufruft.

Phishing per Kommentarfunktion: Der Missbrauch legitimer Funktionen

Parallel zu den Erweiterungs-Angriffen nutzen Kriminelle die Kommentar- und Freigabefunktionen von Google Docs für ihre Zwecke. Sie platzieren Phishing-Links in Dokumentkommentaren und erwähnen ihre Opfer mit dem „@"-Symbol. Die Folge: Automatische Benachrichtigungen von Googles eigenen Servern flattern in die Postfächer der Zielpersonen.

Diese Mails werden von Empfängern und Sicherheitsfiltern gleichermaßen als vertrauenswürdig eingestuft – schließlich stammen sie von einer verifizierten Domain. Folgt ein Nutzer dem Link, landet er auf einer gefälschten Login-Seite oder einem manipulierten Dokumentenvorschaubild.

Die Sicherheitsfirma LayerX Security entdeckte kürzlich 82 bösartige Chrome-Erweiterungen, die unter dem Deckmantel von Produktivitätstools Daten von rund 6,5 Millionen Nutzern abgriffen. Dieses Phänomen, von Experten als „Living off Trusted Sites" (LOTS) bezeichnet, beschreibt den zunehmenden Missbrauch vertrauenswürdiger Cloud-Plattformen.

SheetCreep und Elite Enterprise: Die Angriffsfläche wächst

Die Bedrohung beschränkt sich nicht auf Textdokumente. Die SheetCreep-Malware nutzt Google Sheets als bidirektionale Kommandozentrale. Das Programm fragt regelmäßig eine bestimmte Tabelle ab, erhält dort Befehle und lädt die Ergebnisse wieder hoch. Diese Tarnung ist perfide: Zwischen den Millionen legitimer API-Anfragen von Unternehmen fällt der schädliche Datenverkehr kaum auf.

Noch einen Schritt weiter geht die Elite-Enterprise-Ransomware. Sie kombiniert AES-256- und RSA-4096-Verschlüsselung, lässt aber die Dateinamen unverändert – ein Trick, der die ersten Anzeichen eines Befalls verschleiert. Die Erpresser forderten bereits Lösegeldzahlungen von bis zu 227 Bitcoin und drohen zusätzlich mit der Löschung von Cloud-Ressourcen.

Rekord-Schäden durch Phishing und manipulierte Office-Dokumente zwingen Firmen zum Handeln. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam gegen die neuesten psychologischen Tricks der Hacker schützen kann. Anti-Phishing-Paket jetzt kostenlos herunterladen

Die neue Strategie: Vertrauen als Einfallstor

Der aktuelle Angriffstrend spiegelt einen grundlegenden Wandel wider. Schwachstellen in Unternehmenssoftware und der Missbrauch von Cloud-Integrationen haben schwache Passwörter als häufigsten Einfallsvektor abgelöst. Null-Tage-Exploits in Unternehmensprodukten machen inzwischen rund 44 Prozent aller bekannten Sicherheitslücken aus.

Der Erfolg dieser Kampagnen basiert auf dem „Reputations-Gap" – der Kluft zwischen dem hohen Vertrauen in globale SaaS-Plattformen und der tatsächlichen Sicherheit der dort gehosteten Inhalte. Viele Unternehmen zögern, restriktive Sicherheitsrichtlinien für essenzielle Tools wie Google Docs einzuführen.

Hinzu kommt: KI-gestütztes Social Engineering ermöglicht auch weniger versierten Angreifern professionelle Attacken. Generative KI erstellt täuschend echte Phishing-Köder und automatisiert die Entwicklung von Malware-Varianten, die biotechnisch unterschiedlich, aber funktional identisch sind. Das überfordert die Abwehrteams – ein Phänomen, das Experten als „Distributed Denial of Detection" (DDoD) bezeichnen.

Was Unternehmen jetzt tun müssen

Sicherheitsexperten empfehlen einen radikalen Kurswechsel hin zu Zero-Trust-Architekturen. Statt auf Perimeter-Verteidigung zu setzen, sollten Unternehmen detaillierte Kontrollen für SaaS-Integrationen und Browser-Erweiterungen implementieren.

Konkrete Sofortmaßnahmen:
- Alle installierten Browser-Erweiterungen prüfen – besonders Klone oder Dubletten legitimer Tools wie „Google Docs Offline" entfernen
- Auf „Cradle"-Muster achten – kleine, unscheinbare Skripte in Dokumenten, die größere Schadsoftware nachladen
- Cloud-basiertes Social Engineering regelmäßig im Mitarbeiter-Training thematisieren

Für den Rest des Jahres 2026 erwarten Forscher einen weiteren Anstieg der „Living-off-the-Cloud"-Techniken. Die Fähigkeit der Angreifer, sich in den Verwaltungsebenen von Unternehmenssoftware zu verstecken, wird langfristig KI-gestützte Sicherheitsanalysen erfordern, die bösartiges Verhalten von Routineaktivitäten unterscheiden können.

de | boerse | 69253830 |