GhostPoster: Schläfer-Erweiterungen infizieren Hunderttausende Browser

Eine langfristige Cyber-Bedrohung nutzt schädliche Browser-Erweiterungen als getarnte Schadsoftware. Betroffen sind Nutzer von Mozilla Firefox, Google Chrome und Microsoft Edge. Die als nützliche Tools getarnten Add-ons agierten zunächst harmlos, bevor sie zu Spionagewerkzeugen wurden. Über 840.000 Installationen wurden gezählt.

Die als „GhostPoster“-Kampagne bekannte Operation infiltrierte erfolgreich die offiziellen Add-on-Stores der Browser-Hersteller. Die Erweiterungen tarnten sich jahrelang als Übersetzer, Werbeblocker oder Video-Downloader. Einige schliefen bis zu fünf Jahre, bevor sie aktiv wurden. Sicherheitsanalysten bestätigen: Die Bedrohung ist weiterhin aktiv.

Getarnte Gefahr: So täuschten die Schad-Add-ons

Die Taktik der Angreifer basiert auf Geduld und Tarnung. Ursprünglich auf Microsoft Edge gestartet, breitete sich die Kampagne später auf Firefox und Chrome aus. Dies deutet auf eine gereifte Infrastruktur und eine langfristige Strategie hin.

Browser‑Erweiterungen aus offiziellen Stores können heimlich Daten abgreifen – genau wie die beschriebene GhostPoster‑Kampagne. Ein kostenloses E‑Book erklärt aktuelle Cyber‑Bedrohungen, wie solche Add‑ons operieren, welche Sicherheitschecks wirklich schützen und welche Sofortmaßnahmen Sie jetzt ergreifen können. Mit klaren Checklisten und leicht umsetzbaren Schritten – auch ohne IT‑Abteilung. Schützen Sie Ihre Konten und Passwörter, bevor es zu spät ist. Jetzt kostenlosen Cyber-Security-Report herunterladen

Die Erweiterungen führten harmlose Namen wie „Google Translate in Right Click“ oder „Instagram Downloader“. Sie sammelten positive Bewertungen und bauten Vertrauen auf, bevor sie ihre wahre Funktion enthüllten. Ihre Erfolgsbilanz: Mehr als 840.000 Installationen.

Fortschrittliche Tarnung: Steganografie und verzögerte Aktivierung

Der Schlüssel zur Unentdecktheit liegt in der Steganografie. Der schädliche JavaScript-Code war nicht im ursprünglichen Add-on enthalten, sondern versteckt in scheinbar harmlosen Bilddateien – wie dem eigenen Logo. So umgingen die Erweiterungen die Sicherheitsprüfungen der Stores.

Der Angriff läuft in mehreren Stufen ab. Nach der Installation bleibt das Add-on bis zu 48 Stunden inaktiv. Dann kontaktiert ein Ladeskript einen Command-and-Control-Server und holt die schädliche Nutzlast nach. Neuere Varianten bauen die Schadfunktion direkt in Hintergrundskripte ein, was die Entdeckung weiter erschwert.

Vom Datenklau zur Fernsteuerung: Was die Malware kann

Einmal aktiv, entfaltet die Malware ihr zerstörerisches Potenzial:
* Überwachung: Sie protokolliert das Surfverhalten, besuchte URLs und Suchanfragen und sendet diese Daten an Server der Angreifer.
* Finanzbetrug: Sie manipuliert Affiliate-Links auf großen E-Commerce-Seiten und leitet Provisionen um. Zudem generiert sie durch unsichtbare Iframes betrügerische Werbeklicks.
* Hintertür: Die kritischste Funktion: Sie öffnet eine Backdoor im Browser. Angreifer können damit beliebigen Code ausführen, Anmeldedaten stehlen, Ransomware nachladen oder Industriespionage betreiben.

DarkSpectre: Das steckt hinter der koordinierten Kampagne

Hinter GhostPoster steht die hochorganisierte Bedrohungsgruppe „DarkSpectre“. Diese ist auch für andere großangelegte Malware-Kampagnen wie „ShadyPanda“ und „Zoom Stealer“ verantwortlich, die Millionen Nutzer infizierten. Ihre Methode: jahrelang Vertrauen aufbauen, bevor die Erweiterungen durch stille Updates schädlich werden. Dies untergräbt das fundamentale Vertrauen in offizielle Add-on-Märkte.

Mozilla, Google und Microsoft haben die identifizierten Erweiterungen inzwischen aus ihren Stores entfernt. Das schützt jedoch nur vor Neuinstallationen. Nutzer, die die Add-ons bereits installiert haben, bleiben gefährdet, bis sie diese manuell deinstallieren.

Schutz für Nutzer: So wehren Sie sich ab

Die Kampagne zeigt die anhaltende Gefahr durch Browser-Erweiterungen – selbst aus offiziellen Quellen. Sicherheitsexperten raten zu einer minimalistischen und wachsamen Haltung.

Überprüfen Sie regelmäßig Ihre installierten Erweiterungen und entfernen Sie nicht essentielle Add-ons. Seien Sie misstrauisch bei umfangreichen Berechtigungsanfragen. Plötzliche Verhaltensänderungen wie unerwartete Pop-ups oder eine langsamere Browserleistung können auf ein schädliches Update hindeuten. In diesem Fall sollte die Erweiterung sofort entfernt werden. Bei immer raffinierteren Tarnmethoden der Angreifer bleibt die Wachsamkeit der Nutzer die beste Verteidigung.

PS: Viele Angriffe bleiben monatelang unentdeckt, weil Schadcode in harmlosen Dateien versteckt ist. Das Gratis‑E‑Book „Cyber Security Awareness Trends“ fasst die neuesten Angriffs‑Techniken zusammen, zeigt Prüf‑Tools und gibt eine leicht verständliche To‑Do‑Liste, mit der Sie prüfen können, ob Ihr Browser oder Firmen‑PC betroffen ist. Ideal für Privatpersonen und kleine Unternehmen, die schnell wirksame Schutzmaßnahmen umsetzen wollen. Gratis E‑Book herunterladen: Cyber-Security Awareness Trends