Mastodon Mastodon Mastodon Mastodon

Schadhafte Chrome-Wallpaper-Erweiterungen manipulieren Werbetraffic

Foto des Autors

CyberSecureFox Editorial Team

Veröffentlicht:

Nach Angaben von Forschern des Unternehmens Socket wurden im Chrome Web Store 152 bösartige Erweiterungen entdeckt, die als Tools zur Installation von Live-Wallpapern auf neuen Browser-Tabs getarnt waren. Den Berichten zufolge wurden die Erweiterungen insgesamt mehr als 105.000 Mal installiert, sammelten entgegen den Aussagen in den Beschreibungen Nutzerdaten und wurden vermutlich zur systematischen Fälschung von Werbetraffic eingesetzt. Allen Chrome-Nutzern, die Erweiterungen mit Anime-, Spiele-Charakteren, Autos oder Prominenten zur Gestaltung neuer Tabs installiert haben, wird empfohlen, umgehend die Liste der installierten Erweiterungen zu prüfen und verdächtige Einträge zu entfernen.

Umfang und Infrastruktur der Kampagne

Dem Bericht von Socket zufolge umfasste die Kampagne 38 Entwicklerkonten im Chrome Web Store – eine untypisch hohe Anzahl, die auf eine gezielte Verteilung der Erweiterungen hinweist, um das Risiko einer massenhaften Blockierung zu verringern. Sämtliche Erweiterungen boten eine visuelle Gestaltung neuer Browser-Tabs an: Live-Wallpaper mit Anime-Figuren, Videospielhelden, Autos und Prominenten – ein Themenfeld, das auf ein breites Publikum ausgelegt ist.

Die Forscher brachten die Infrastruktur der Kampagne mit drei Domains in Verbindung:

  • tabplugins[.]com
  • yowgames[.]com
  • chromewallpaper[.]com

Die vollständige Liste der bösartigen Erweiterungen ist im Bericht von Socket verfügbar.

Technisches Schema: vom Datensammeln bis zur Traffic-Manipulation

Widerspruch zwischen Beschreibung und Datenschutzrichtlinie

Die zentrale Erkenntnis war die Diskrepanz zwischen den öffentlichen Aussagen und dem tatsächlichen Verhalten der Erweiterungen. In den Beschreibungen auf den Seiten im Chrome Web Store wurde behauptet, dass die Erweiterungen keine Nutzerdaten sammeln oder verwenden. In der Datenschutzrichtlinie war nach Angaben der Forscher jedoch das Gegenteil angegeben: Die Erweiterungen zeichneten IP-Adressen, Informationen über Internet-Provider, die Anzahl der Klicks und die Herkunftsquellen der Zugriffe auf. Die gesammelten Daten wurden demnach an Werbepartner weitergegeben, darunter Google AdSense und DoubleClick.

Manipulation bei Installation und Entfernung

Der ausgeklügeltste Teil des Schemas war mit versteckten Mechanismen verknüpft, die an zwei kritischen Punkten im Lebenszyklus der Erweiterung aktiv wurden:

Bei der Installation öffneten die Erweiterungen automatisch eine spezielle Seite mit UTM-Parametern. Für Analysesysteme sah dieser Aufruf wie ein organischer Besuch aus den Google-Suchergebnissen aus. Wie die Forscher erläutern: „Das ist nicht eine Person, die die Website einfach über die Google-Suche gefunden hat. Die Erweiterung öffnet selbstständig einen Tab und markiert den Aufruf als organisch.“

Bei der Deinstallation sendeten einige Erweiterungen eine Anfrage über google.com/url – einen legitimen Redirector von Google. In Analysesystemen wurde dies als Besuch eines Nutzers aus der Suchergebnisliste interpretiert, obwohl die Anfrage in Wirklichkeit programmatisch erzeugt wurde.

Beide Techniken verfolgten ein Ziel: künstlich Signale zu erzeugen, die Werbe- und Analyseplattformen mit echten Besuchern in Verbindung bringen. Die Betreiber der Kampagne erhielten damit die Möglichkeit, Kennzahlen zu Besuchsaufkommen und Traffic-Herkunft zu manipulieren – ein klassisches Schema des Werbebetrugs.

Inaktiver Mechanismus für den Umgang mit IndexedDB

Die Forscher entdeckten im Code außerdem eine inaktive Funktion im Zusammenhang mit IndexedDB. Beim Start des Service Workers ist sie in der Lage, alle gefundenen IndexedDB-Datenbanken im Browser aufzulisten und zu löschen. Obwohl dieser Mechanismus zum Zeitpunkt der Analyse nicht genutzt wurde, deutet seine Existenz auf eingebaute zusätzliche Fähigkeiten hin – potenziell destruktiv, da IndexedDB von Webanwendungen zur Speicherung großer Mengen strukturierter Daten verwendet wird, darunter Offline-Caches und Benutzereinstellungen.

Bewertung der Auswirkungen

Nach Einschätzung von Socket handelt es sich um eine kommerzielle Operation, die auf Werbebetrug und die Manipulation von Traffic-Quellen abzielt. Über 105.000 Installationen bedeuten, dass Zehntausende Nutzer potenziell einer unautorisierten Datensammlung ausgesetzt waren. Dabei sind mehrere Aspekte zu berücksichtigen:

  • Für Endnutzer: Abfluss von IP-Adressen, Providerdaten und Verhaltensmetriken an unbekannte Werbepartner. Das Vorhandensein inaktiven Codes für den Umgang mit IndexedDB schafft das Risiko eines Datenverlusts von Webanwendungen im Falle einer Aktivierung.
  • Für Werbetreibende: Gefälschter organischer Traffic verfälscht Analysen und führt zu einer ineffizienten Verwendung von Werbebudgets.
  • Für das Ökosystem des Chrome Web Store: Der Einsatz von 38 Entwicklerkonten zeigt die Grenzen der aktuellen Moderationsmechanismen bei der Erkennung koordinierter Kampagnen auf.

Es ist zu beachten, dass alle Schlussfolgerungen auf dem Bericht einer einzelnen Forschungsquelle beruhen. Eine offizielle Bestätigung durch Google oder den Chrome Web Store lag zum Zeitpunkt der Veröffentlichung nicht vor.

Empfehlungen

  1. Installierte Erweiterungen prüfen: Öffnen Sie chrome://extensions/ und gleichen Sie die Liste mit dem Verzeichnis der bösartigen Erweiterungen im Socket-Bericht ab. Entfernen Sie alle Übereinstimmungen.
  2. Berechtigungen der Erweiterungen überprüfen: Erweiterungen zur Gestaltung neuer Tabs sollten keinen Zugriff auf Daten auf allen Websites oder auf Netzwerkaktivitäten anfordern.
  3. Beschreibung mit Datenschutzrichtlinie abgleichen: Wenn eine Erweiterung angibt, keine Daten zu sammeln, ihre Datenschutzrichtlinie aber die Weitergabe von Informationen an Werbepartner beschreibt, ist das ein eindeutiges Zeichen für mangelnde Vertrauenswürdigkeit.
  4. Anzahl der Erweiterungen minimieren: Jede Chrome-Erweiterung wird mit Rechten ausgeführt, die Interaktionen mit Seiteninhalten und Netzwerkabfragen ermöglichen. Installieren Sie nur Erweiterungen von vertrauenswürdigen Entwicklern mit transparenter Historie.
  5. Für Administratoren in Unternehmensumgebungen: Nutzen Sie die Gruppenrichtlinien von Chrome (ExtensionInstallBlocklist, ExtensionInstallAllowlist), um die Installation von Erweiterungen ausschließlich auf eine genehmigte Liste zu beschränken.

Dieser Fall zeigt anschaulich, dass Erweiterungen mit scheinbar harmloser, rein visueller Funktionalität – Tab-Gestaltung, Wallpaper, Themes – weiterhin zu den effektivsten Vektoren für massenhafte Datensammlung und Werbebetrug gehören. Nutzer, die eine der 152 im Socket-Bericht aufgeführten Erweiterungen entdecken, sollten diese umgehend entfernen und prüfen, welche Daten möglicherweise übermittelt wurden, indem sie die Historie der Netzwerkanfragen der Erweiterung über die Chrome-Entwicklertools einsehen.

Foto des Autors

CyberSecureFox Editorial Team

Die CyberSecureFox-Redaktion berichtet über Cybersecurity-News, Schwachstellen, Malware-Kampagnen, Ransomware-Aktivitäten, AI Security, Cloud Security und Security Advisories von Herstellern. Die Beiträge werden auf Grundlage von official advisories, CVE/NVD-Daten, CISA-Meldungen, Herstellerveröffentlichungen und öffentlichen Forschungsberichten erstellt. Artikel werden vor der Veröffentlichung geprüft und bei neuen Informationen aktualisiert.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.

CyberSecureFox

© 2026 INFO

Über uns

Über CyberSecureFox

Autoren

Kontakt

Redaktion

Redaktionelle Standards

Korrekturen

Rechtliches

Datenschutzerklärung

Nutzungsbedingungen