Sicherheitsforscher haben mehr als 300 bösartige Google Chrome-Erweiterungen entdeckt, die insgesamt über 37 Millionen Mal heruntergeladen wurden. Diese Erweiterungen bergen das Risiko, Nutzer zu verfolgen sowie Identitätsdaten und persönliche Informationen zu stehlen. Laut einem Bericht von SecurityWeek verbreiten sich diese Add-ons über verschiedene Angriffskampagnen. In den letzten Wochen ist ein signifikanter Anstieg ähnlicher browserbasierter Angriffe zu verzeichnen, die Millionen von Chrome-Nutzern betreffen.
Gefälschte KI-Erweiterungen könnten Ihre Daten stehlen
Eine dieser Kampagnen, von LayerX als „AiFrame“ bezeichnet, umfasst 32 Erweiterungen, die KI-Assistenten wie ChatGPT, Claude, Gemini und Grok imitieren. Parallel dazu haben Forscher von Koi Security ein Netzwerk von Erweiterungen identifiziert, das rund 500.000 Personen betrifft und auf das russische soziale Netzwerk VKontakte abzielt.
Die AiFrame-Kampagne erreichte über 260.000 Nutzer mit Erweiterungen, die vorgaben, KI-gestützte Zusammenfassungen, Schreibhilfen und Gmail-Integrationen anzubieten. Anstatt jedoch ihre eigentlichen Funktionen auszuführen, operieren diese Erweiterungen über einen Remote-Server. Die LayerX-Forscherin Natalie Zargarov erklärte, dass diese Tools zwar nach außen hin legitim erscheinen, jedoch eine gefährliche Struktur enthalten, die Fernzugriff auf sensible Browserfunktionen ermöglicht. Die Erweiterungen extrahieren Inhalte, Titel und Texte von Webseiten und senden diese an Drittserver. 15 dieser Erweiterungen zielen sogar spezifisch auf Gmail ab, um E-Mail-Inhalte auszulesen.
Eine weitere Bedrohung, die VK Styles-Kampagne, ist seit Juni 2025 aktiv. Diese Kampagne demonstriert, wie Tools zur Kontopersonalisierung in Mechanismen zur Kontoübernahme umgewandelt werden können. Fünf verschiedene Erweiterungen melden Nutzer automatisch bei Gruppen an, die von Angreifern kontrolliert werden, setzen alle 30 Tage die Kontoeinstellungen zurück und manipulieren Sicherheitstoken, um Schutzmaßnahmen zu umgehen.
Diese Erkenntnisse belegen den zunehmenden Missbrauch von Browser-Erweiterungen. Berichten zufolge hat Google zwischen Ende 2024 und Anfang 2026 Erweiterungen entfernt oder deaktiviert, die mehr als 8,8 Millionen Chrome-Nutzer betrafen. LayerX gab an, dass Angreifer versuchen, der Entdeckung zu entgehen, indem sie denselben Schadcode unter verschiedenen Namen veröffentlichen. Einige AiFrame-Erweiterungen hatten sogar vor ihrer Entfernung durch die Aufnahme in die „Empfehlungen“-Liste im Chrome Web Store an Glaubwürdigkeit gewonnen.
