Browser-Malware Edgecution: Ransomware-Gruppen nutzen Edge-Erweiterungen
25.06.2026 - 13:07:25 | boerse-global.de
Cyberkriminelle setzen zunehmend auf manipulierte Browser-Erweiterungen, um Sicherheitsvorkehrungen zu umgehen und dauerhafte Hintertüren in Unternehmensnetzwerke zu installieren.
Die Angriffe richten sich vor allem gegen die beiden dominierenden Browser Microsoft Edge und Google Chrome. Sicherheitsforscher warnen vor einer neuen Welle hochentwickelter Malware-Kampagnen, die als Einfallstor für Ransomware-Gruppen und andere professionelle Angreifer dienen.
Edgecution: Wenn der Browser zum Einfallstor wird
Eine besonders perfide Schadsoftware namens Edgecution nutzt eine bösartige Microsoft-Edge-Erweiterung, um sich in Firmennetzwerken festzusetzen. Die Angriffskette beginnt laut Analysen von Zscaler ThreatLabz mit einem Social-Engineering-Trick über Microsoft Teams. Die Täter geben sich als IT-Support-Mitarbeiter aus und locken ihre Opfer auf ein gefälschtes Microsoft-Update-Portal.
Die als legitimer „Edge Monitoring Agent" getarnte Erweiterung wird über manipulierte ZIP-Archive sowie Skripte in AutoHotKey und PowerShell installiert. Ihr Kernstück: Sie missbraucht die Chrome Native Messaging API, um mit einem lokal installierten Python-Backdoor zu kommunizieren. Auf diese Weise verlässt die Malware die isolierte Browser-Umgebung und führt direkt Befehle auf dem Betriebssystem aus.
Immer mehr Unternehmen werden Opfer von Cyberangriffen durch manipulierte Software – diese Checkliste hilft Ihnen, es zu verhindern. Erfahren Sie im kostenlosen E-Book, wie Sie sich proaktiv absichern und Sicherheitslücken schließen, bevor Hacker diese ausnutzen können. Experten-Leitfaden zur Cyber-Security jetzt kostenlos sichern
Das Python-Backdoor – Forscher identifizierten Version 3.13.3 – kann Shell-Befehle ausführen, PowerShell- und Python-Skripte starten, Dateien manipulieren und Systemprozesse auslesen. Die Spur führt zu einem sogenannten Initial Access Broker, der für die Ransomware-Gruppe Payouts Kings arbeitet.
Chrome-Richtlinien als Einfallstor
Eine zweite, im Juni 2026 beobachtete Kampagne nutzt eine andere Schwachstelle: Angreifer manipulieren Googles Verwaltungsrichtlinien für Chrome, um Erweiterungen zwangsweise zu installieren. Besonders aktiv sind die Täter derzeit in Italien, wo Opfer Phishing-Mails mit getarnten JavaScript-Anhängen erhalten.
Der Infektionsprozess setzt auf DLL-Side-Loading: Eine legitime ausführbare Datei von Epic Games lädt eine schädliche Bibliothek. Anschließend manipulieren PowerShell-Befehle die Windows-Registrierung, konkret die Schlüssel ExtensionInstallAllowlist und ExtensionInstallSources. So wird die Erweiterung Cloud vn105rkj64 ohne Nutzerinteraktion installiert.
Auch dieses Chrome-Add-on nutzt Native Messaging für lokale PowerShell-Befehle. Seine Aufgaben: Session-Cookies stehlen, aktive Tabs auslesen und Geräte-Fingerprinting für weitere Angriffe betreiben.
Hacker nutzen oft gezielte Manipulationstaktiken, um Schadsoftware in Firmennetzwerken zu platzieren. Dieser kostenlose Ratgeber enthüllt die psychologischen Tricks der Angreifer und zeigt Ihnen in 4 Schritten, wie Sie die Abwehr Ihres Unternehmens effektiv stärken. Anti-Phishing-Paket für Unternehmen gratis herunterladen
Die stille Explosion der Web-Attacken
Die neuen Erweiterungs-Backdoors sind Teil eines größeren Trends. Daten von Menlo Security zeigen einen Anstieg um 224 Prozent bei sogenannten Highly Evasive Adaptive Threats (HEAT) seit Juli 2021. Rund 69 Prozent aller schädlichen Domains setzen inzwischen auf diese Taktiken – darunter HTML-Schmuggel und die Umgehung von HTTP-Verkehrsinspektionen.
Die Zahl der Good2Bad-Websites – legitime Domains, die für schädliche Inhalte gekapert wurden – stieg im Jahresvergleich um 137 Prozent. Besonders häufig imitiert werden Microsoft, PayPal und Amazon.
Mistic: Neues Backdoor erweitert das Arsenal der Zugangsvermittler
Neben den Erweiterungs-Angriffen haben Forscher ein weiteres Backdoor namens Mistic entdeckt. Es wird dem Initial Access Broker KongTuke zugeschrieben, der seit 2024 aktiv ist und zuletzt Versicherungen, Bildungseinrichtungen und Dienstleistungsunternehmen ins Visier nahm.
Mistic wird ebenfalls per DLL-Side-Loading eingeschleust und läuft komplett im Arbeitsspeicher – klassische Antiviren-Lösungen haben kaum eine Chance. Das Backdoor besitzt einen eingebauten Kill-Switch und kann Beacon Object Files laden, um seine Funktionen zu erweitern. KongTuke, der im Mai 2026 unter anderem die ClickFix-Kette nutzte, gilt als Zulieferer für mehrere große Ransomware-Operationen, darunter Qilin, Akira und Black Basta.
