Zwei zuvor vertrauenswürdige Chrome-Erweiterungen – QuickLens und ShotBird – sind nach einem Besitzerwechsel zu Werkzeugen für Cyberangriffe geworden. Forscher von Annex Security und der unabhängige Analyst monxresearch-sec beobachteten, dass neue Versionen der Add-ons plötzlich beliebigen Code ausführen, Nutzerdaten sammeln und über gefälschte Chrome-Updates Malware verteilen. Der Fall unterstreicht, wie anfällig die Supply Chain von Browser-Erweiterungen ist.
Besitzerwechsel von Chrome-Erweiterungen als Angriffsvektor
Beide Erweiterungen starteten mit legitimer Funktion: QuickLens (rund 7.000 Installationen) bot einen Schnellzugriff auf Google Lens, ShotBird (circa 800 Installationen) versprach professionelle Screenshots mit lokaler Bildverarbeitung. ShotBird wurde im Januar 2025 sogar als Featured im Chrome Web Store hervorgehoben – ein Label, das viele Nutzer als Qualitäts- und Vertrauenssignal interpretieren.
Später wurden die Projekte verkauft. QuickLens tauchte kurz nach Veröffentlichung auf der Handelsplattform ExtensionHub auf und wechselte zum 1. Februar 2026 zum Account [email protected]. ShotBird wurde nach Angaben der Forscher im Februar 2026 veräußert. Erst nach diesen Eigentümerwechseln begannen die Erweiterungen, schädlichen Code nachzuladen und ihr Verhalten unauffällig, aber grundlegend zu verändern. Damit zeigt sich ein typisches Muster von Extension-Supply-Chain-Angriffen: Ein etabliertes, gut bewertetes Produkt wird übernommen und im Anschluss stillschweigend zur Verteilplattform für Malware.
QuickLens: Vom Hilfswerkzeug zur Remote-Code-Execution-Plattform
Manipulation von Sicherheitsheadern und Umgehung von Content Security Policy
Am 17. Februar 2026 erhielt QuickLens ein Update, das den sichtbaren Funktionsumfang weitgehend beibehielt, aber versteckte, sicherheitskritische Änderungen einführte. Die Erweiterung begann, in den HTTP-Verkehr einzugreifen und wichtige Sicherheitsheader wie X-Frame-Options zu entfernen.
Dieser Header schützt Webseiten vor Clickjacking und steuert, ob Inhalte in einem <iframe> eingebettet werden dürfen. Wird X-Frame-Options sowie verwandte Mechanismen ausgehebelt, lassen sich Schutzmaßnahmen der Content Security Policy (CSP) deutlich leichter umgehen. Für Angreifer bedeutet das: Sie können eigene Skripte in eigentlich geschützte Seiten einbetten und im Kontext der besuchten Webseite ausführen – faktisch ein Remote-Code-Execution-Risiko im Browser.
Telemetrie, Command-and-Control und dynamische Payloads
Laut Annex Security sammelt die manipulierte Version von QuickLens technische Telemetrie wie Land, Betriebssystem und Browserversion. Alle fünf Minuten kontaktiert das Add-on einen externen Server, lädt einen neuen JavaScript-Payload, speichert ihn im Local Storage und führt ihn anschließend aus.
Die eigentliche Schadlogik befindet sich somit nicht im Paket der Erweiterung selbst, sondern wird dynamisch von einem Command-and-Control-Server nachgeladen. Das erschwert klassische Code-Analysen, erlaubt schnelle Funktionswechsel ohne neues Store-Update und eröffnet Angreifern ein flexibles Arsenal: vom Datendiebstahl über das Manipulieren von Web-Inhalten bis zu weiteren Nachlade-Angriffen.
ShotBird: Gefälschtes Chrome-Update und Installation eines Infostealers
ClickFix-Social-Engineering mit PowerShell-Missbrauch
Beim Fall ShotBird stützen sich die Angreifer primär auf Social Engineering. Die Erweiterung blendet ein angebliches Chrome-Update ein und leitet Nutzer mit einer sogenannten ClickFix-Attacke Schritt für Schritt an: Zuerst soll der Benutzer den Windows-Dialog „Ausführen“ öffnen, dann cmd.exe starten und schließlich einen vorgegebenen PowerShell-Befehl einfügen.
Optisch wirkt dies wie ein legitimer Reparaturvorgang für ein fehlgeschlagenes Update. Tatsächlich initiiert der Anwender selbst die Ausführung von Schadcode mit erweiterten Systemrechten – ein typisches Beispiel dafür, wie Social Engineering technische Schutzmechanismen aushebelt, indem es den Menschen zur „Schwachstelle“ macht.
googleupdate.exe als Infostealer mit Fokus auf Chrome-Daten
Der PowerShell-Skript lädt eine ausführbare Datei namens googleupdate.exe nach. Dieses Programm agiert laut Analyse als klassischer Infostealer und führt unter anderem folgende Aktionen aus:
- Abgreifen von in Webformulare eingegebenen Daten wie Login-Daten, PINs, Zahlungsinformationen und Authentifizierungstokens,
- Auslesen der in Google Chrome gespeicherten Passwörter sowie der Browser-Historie,
- Exfiltration der gesammelten Informationen an Server der Angreifer.
Infrastruktur, ClickFix-Mechanik und der Missbrauch des Eigentümerwechsels sprechen nach Einschätzung der Forscher stark dafür, dass ein und derselbe Bedrohungsakteur hinter beiden Kampagnen steht.
Was die Vorfälle über die Sicherheit von Browser-Erweiterungen zeigen
Die Fälle QuickLens und ShotBird machen deutlich, dass ein einmaliger Review beim Einstellen in den Web Store als Sicherheitsmodell nicht ausreicht. Auto-Updates, weitreichende Berechtigungen („Zugriff auf alle Websites“) und das Vertrauen in Bewertungen und Featured-Labels schaffen eine attraktive Angriffsfläche. Ähnliche Szenarien wurden in der Vergangenheit bereits bei populären Werbeblockern und Tab-Managern beobachtet, die nach einem Verkauf plötzlich Tracking, aggressive Werbung oder versteckte Miner integrierten – häufig, ohne dass Nutzer eine sichtbare Funktionsänderung bemerkten.
Praktische Empfehlungen gegen bösartige Chrome-Erweiterungen
Um das Risiko durch manipulierte Browser-Erweiterungen zu reduzieren, sollten sowohl Privatnutzer als auch Unternehmen einige Grundregeln befolgen:
- Weniger ist mehr: Nur Erweiterungen installieren, die tatsächlich benötigt werden, und ungenutzte Add-ons regelmäßig entfernen.
- Berechtigungen prüfen: Erweiterungen mit Vollzugriff auf alle Websites oder auf das Lesen/Ändern von Seiteninhalten nur in Ausnahmefällen zulassen.
- Verhaltensänderungen ernst nehmen: Unerwartete Pop-ups, neue „Pflicht“-Klickpfade oder Aufforderungen zur Eingabe von Befehlen in
cmdoder PowerShell sind ein klares Warnsignal. - Keine Browser-Updates über Erweiterungen: Chrome aktualisiert sich selbst oder über den offiziellen Installer – niemals über ein Drittanbieter-Add-on.
- Sicherheitslösungen nutzen: Moderne Antivirus- und EDR-Lösungen mit Verhaltensanalyse können verdächtige PowerShell-Aufrufe und unautorisierte Verbindungen zu Command-and-Control-Servern erkennen und blockieren.
- Unternehmensumgebungen absichern: Wo möglich, eine Allowlist zentral freigegebener Erweiterungen nutzen und die Installation weiterer Add-ons einschränken.
Die Kompromittierung von QuickLens und ShotBird zeigt, wie schnell sich ein vertrautes Browser-Ökosystem durch ein einziges Update in ein Einfallstor für Angriffe verwandeln kann. Wer seine Chrome-Erweiterungen regelmäßig überprüft, Berechtigungen kritisch hinterfragt und verdächtige Update-Aufforderungen ignoriert, reduziert das Risiko eines Datendiebstahls erheblich. Es lohnt sich, die eigene Erweiterungsliste heute noch zu bereinigen und Sicherheitsrichtlinien für Browser im Unternehmen klar zu definieren, bevor der nächste Besitzerwechsel im Hintergrund zur konkreten Bedrohung wird.
