Mastodon Mastodon Mastodon Mastodon

152 schädliche Chrome-Wallpaper-Erweiterungen manipulieren Werbe-Traffic

Foto des Autors

CyberSecureFox Editorial Team

Veröffentlicht:

Forscher des Unternehmens Socket haben einen Cluster aus 152 Google-Chrome-Erweiterungen identifiziert, die sich als Live-Wallpaper und Themes für neue Tabs ausgaben, in Wirklichkeit jedoch Adware mit Funktionen zur Manipulation von Traffic darstellten. Nach Angaben der Forscher waren die Erweiterungen auf 38 Publisher-Konten im Chrome Web Store verteilt und wurden insgesamt rund 105.000-mal installiert. Nutzern, die eines dieser Erweiterungen installiert haben, wird empfohlen, es umgehend zu entfernen und die Datenschutzeinstellungen ihres Browsers zu überprüfen.

Umfang und Infrastruktur der Kampagne

Laut Bericht stützt sich das gesamte Erweiterungsnetzwerk auf drei Backend-Domains: tabplugins[.]com, yowgames[.]com und chromewallpaper[.]com. Die Erweiterungen greifen populäre Themen auf – Anime-Charaktere (Satoru Gojo, Tanjiro, Zenitsu Agatsuma), Videospiele (Minecraft, Sonic Frontiers, Ghost of Tsushima), Sportwagen (Porsche 911, BMW M3), Fußballspieler (Neymar) und bekannte Cartoon-Figuren (Hello Kitty, Pusheen Cat). Diese große thematische Bandbreite zielt darauf ab, ein möglichst heterogenes Publikum anzusprechen.

Die Nutzung von 38 separaten Publisher-Konten ist ein typisches Mittel, um die Moderation des Chrome Web Store zu umgehen: Die Löschung eines Kontos betrifft die übrigen nicht, was die Gesamtoperation widerstandsfähiger macht.

Technische Analyse des schädlichen Verhaltens

Falsche Aussagen zum Datenschutz

Nach Angaben des Socket-Forschers Kush Pandya erklärte jede Erweiterung im Chrome-Web-Store-Eintrag, dass sie keine Nutzerdaten sammelt oder verwendet. Die zugehörigen Datenschutzrichtlinien enthielten jedoch laut Bericht genau gegenteilige Aussagen: Die Erweiterungen protokollieren IP-Adressen, Daten zum Internetanbieter, die Anzahl der Klicks und Referrer und übermitteln diese Informationen anschließend an Google AdSense, DoubleClick und externe Werbepartner.

Fälschung von organischem Traffic

Der technisch bemerkenswerteste Aspekt der Kampagne ist der Mechanismus zur Manipulation der Traffic-Attribution. In einem Untercluster der Erweiterungen wurde die JavaScript-Datei js/bg.js entdeckt, die zwei fest kodierte URLs enthält, die bei Installation und Entfernung der Erweiterung ausgelöst werden:

  • Installations-URL enthält UTM-Parameter der Form utm_source=google&utm_medium=organic&utm_campaign=tanjiro-demon-slayer-live-wallpaper. Bei der Installation öffnet die Erweiterung einen Tab, der als Besuch aus der organischen Google-Suche markiert wird – obwohl der Nutzer keinerlei Suche durchgeführt hat.
  • Deinstallations-URL verwendet den Weiterleitungswrapper google.com/url mit signierten Tokens ved und usg – exakt in dem Format, das Google für tatsächliche Klicks aus den Suchergebnissen einsetzt. Dadurch wird das Entfernen der Erweiterung als normaler Nutzerklick auf ein Suchergebnis getarnt.

Der Kern des Schemas ist die künstliche Erzeugung von Signalen für organischen Traffic. Werbesysteme und Analyseplattformen werten diese Besuche als echte Zugriffe aus der Suche, was es den Betreibern der Kampagne ermöglicht, den manipulierten Traffic über Partner-Werbeprogramme zu monetarisieren.

Verborgene Funktion zur Datenlöschung

Die Forscher fanden im JavaScript-Code der Erweiterungen zudem eine inaktive (dormant) Funktion, die beim Start des Service Workers alle IndexedDB-Datenbanken auflisten und löschen kann. Zum Zeitpunkt der Analyse war diese Möglichkeit nicht aktiviert, ihre Existenz weist jedoch auf ein Potenzial für weitaus destruktivere Aktionen hin – von der Vernichtung von Daten in Webanwendungen bis zur Verschleierung von Spuren schädlicher Aktivitäten.

Bewertung der Auswirkungen

Socket klassifiziert die Operation als finanziell motivierte kommerzielle Kampagne zur Verbreitung von Adware und zum Betrug mit Traffic-Attribution. Die unmittelbaren Risiken für Nutzer umfassen:

  • Abfluss von Daten zum Online-Verhalten – IP-Adressen, Informationen zum Provider, Klickmuster und Referrer werden ohne informierte Einwilligung an Dritte weitergegeben.
  • Verzerrung von Werbemetriken – die Fälschung von organischem Traffic schadet Werbetreibenden, die für Einblendungen und Klicks bezahlen.
  • Potenzielle Eskalation – das Vorhandensein der inaktiven IndexedDB-Löschfunktion bedeutet, dass die Betreiber jederzeit durch ein Erweiterungs-Update destruktives Verhalten aktivieren könnten.

Es ist zu beachten, dass die Informationen zur Kampagne aus einer einzigen Forschungssource stammen. Zum Zeitpunkt der Veröffentlichung gab es keine offizielle Bestätigung von Google hinsichtlich der Anzahl der Erweiterungen, der Installationszahlen oder ergriffener Gegenmaßnahmen.

Empfehlungen

Für private Nutzer:

  • Überprüfen Sie die Liste der installierten Chrome-Erweiterungen (chrome://extensions) auf Erweiterungen mit Live-Wallpaper-Thematik, insbesondere solche, die mit den Domains tabplugins[.]com, yowgames[.]com oder chromewallpaper[.]com verknüpft sind.
  • Entfernen Sie verdächtige Erweiterungen und löschen Sie Browserdaten, einschließlich Cookies und Cache.
  • Vergleichen Sie vor der Installation von Erweiterungen die Aussagen im Chrome-Web-Store-Eintrag mit dem tatsächlichen Text der Datenschutzerklärung – Abweichungen sind ein klarer Indikator für unseriöse Anbieter.

Für Organisationen:

  • Nutzen Sie Chrome-Enterprise-Gruppenrichtlinien, um die Installation von Erweiterungen per Allowlist zu beschränken oder Erweiterungen anhand ihrer IDs zu blockieren.
  • Nehmen Sie die genannten Domains (tabplugins[.]com, yowgames[.]com, chromewallpaper[.]com) in Sperrlisten auf DNS- oder Proxy-Server-Ebene auf.
  • Führen Sie einen Audit der Erweiterungen auf den Arbeitsplätzen der Mitarbeitenden durch – Erweiterungen mit Berechtigungen zur Tab-Steuerung und zum Zugriff auf Browserdaten erfordern besondere Aufmerksamkeit.

Dieser Fall verdeutlicht ein systemisches Moderationsproblem im Chrome Web Store: Die Verteilung schädlicher Erweiterungen auf dutzende Publisher-Konten ermöglicht es, automatische Prüfungen zu umgehen. Der einzige verlässliche Schutz auf Nutzerseite besteht darin, die Anzahl installierter Erweiterungen zu minimieren und deren Berechtigungen regelmäßig zu überprüfen; für Organisationen ist die erzwungene Verwaltung von Erweiterungen über Browser-Richtlinien entscheidend.

Foto des Autors

CyberSecureFox Editorial Team

Die CyberSecureFox-Redaktion berichtet über Cybersecurity-News, Schwachstellen, Malware-Kampagnen, Ransomware-Aktivitäten, AI Security, Cloud Security und Security Advisories von Herstellern. Die Beiträge werden auf Grundlage von official advisories, CVE/NVD-Daten, CISA-Meldungen, Herstellerveröffentlichungen und öffentlichen Forschungsberichten erstellt. Artikel werden vor der Veröffentlichung geprüft und bei neuen Informationen aktualisiert.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.

CyberSecureFox

© 2026 INFO

Über uns

Über CyberSecureFox

Autoren

Kontakt

Redaktion

Redaktionelle Standards

Korrekturen

Rechtliches

Datenschutzerklärung

Nutzungsbedingungen