Thought Leadership
Was einst wie ein praktisches Hilfsmittel im Alltag erschien – Farbwähler, Emoji-Tastaturen, Lautstärke-Booster – hat sich in eine heimtückische Sicherheitsbedrohung verwandelt.
Mindestens 18 Chrome- und Edge-Erweiterungen wurden nach jahrelanger Unauffälligkeit plötzlich mit Schadcode versehen – völlig ohne Zutun der Nutzer.
Die Sicherheitsfirma Koi Security nennt die Aktion „RedDirection“ – eine ausgeklügelte Kampagne, bei der über 2,3 Millionen Nutzer unbemerkt infiziert wurden. Auffällig: Keine der Erweiterungen war von Beginn an bösartig. Im Gegenteil: Viele hatten gute Bewertungen, eine Google-Verifizierung und waren sogar im Chrome Web Store prominent platziert.
Stilles Update, große Wirkung
Die eigentliche Gefahr lag in einem unscheinbaren Versionssprung: Ein Update genügte, um harmlose Software in Spionage-Werkzeuge zu verwandeln. Weder Phishing noch Social Engineering war nötig – die Nutzer vertrauten auf bereits installierte Erweiterungen. Und genau dieses Vertrauen wurde ausgenutzt.
Laut Koi Security wurden die Schadfunktionen so eingebaut, dass sie sich erst bei aktiver Nutzung bemerkbar machten: Die Erweiterungen funktionierten weiterhin wie gewohnt – etwa als Farbwähler oder Lautstärkeverstärker – sammelten jedoch gleichzeitig umfangreiche Daten über das Surfverhalten der Nutzer.
Die Malware in den Erweiterungen analysierte jede besuchte Webseite, schickte die Informationen samt Nutzerkennung an einen entfernten Server und konnte daraufhin den Nutzer auf manipulierte Seiten umleiten. Diese reichten von gefälschten Banking-Portalen bis hin zu vermeintlichen Software-Updates.
So wäre etwa denkbar, dass ein Nutzer bei einer Zoom-Einladung auf eine gefälschte Update-Seite gelenkt wird – samt Download-Link zur Schadsoftware. Auch pixelgenaue Fälschungen von Bank-Login-Seiten gehören zum Arsenal der Angreifer.
Obwohl die Erweiterungen scheinbar von unterschiedlichen Entwicklern stammten – mit jeweils eigenen Webseiten und Markennamen – zeigte die Analyse, dass sie über eine zentrale Infrastruktur gesteuert wurden. Dies deutet auf eine koordinierte Operation hin, die gezielt das Vertrauen in populäre Erweiterungen ausnutzt.
Diese Erweiterungen sollten sofort gelöscht werden
Koi Security empfiehlt die sofortige Entfernung folgender Erweiterungen aus Chrome oder Edge:
- Emoji keyboard online – copy&paste your emoji
- Free Weather Forecast
- Video Speed Controller – Video Manager
- Unlock Discord – VPN Proxy to Unblock Discord Anywhere
- Dark Theme – Dark Reader for Chrome
- Volume Max – Ultimate Sound Booster
- Unblock TikTok – Seamless Access with One-Click Proxy
- Unlock YouTube VPN
- Color Picker, Eyedropper – Geco colorpick
- Weather Edge: Unlock TikTok
- Volume Booster – Increase your sound
- Web Sound Equalizer
- Header Value
- Flash Player – games emulator
- Youtube Unblocked
- SearchGPT – ChatGPT for Search Engine
- Unlock Discord
Weitere Schutzmaßnahmen
Neben dem Löschen der betroffenen Erweiterungen empfehlen Experten folgende Schritte:
- Browserdaten löschen, um gespeicherte schädliche Links zu entfernen
- System-Scan mit aktueller Antiviren-Software durchführen
- Alle installierten Erweiterungen überprüfen – auch vertraute können kompromittiert sein
- Online-Konten beobachten – auf ungewöhnliche Aktivitäten achten
Ein Warnsignal für alle Nutzer
Auch wenn viele der infizierten Erweiterungen mittlerweile aus den Stores entfernt wurden, bleiben einige der verwendeten Server und Domains weiterhin aktiv. Dies verdeutlicht: Ein hohes Maß an Aufmerksamkeit ist bei Erweiterungen unerlässlich. Ein harmloses Tool kann sich jederzeit – mit einem simplen Update – in ein Spionagewerkzeug verwandeln.
Die Analyse von Koi Security zeigt eindrücklich, wie verletzlich selbst scheinbar vertrauenswürdige Plattformen wie der Chrome Web Store sind. Nutzer sollten regelmäßig ihre Erweiterungen überprüfen – und lieber zu wenige als zu viele installieren.
