In den offiziellen Erweiterungs-Stores von Google Chrome, Mozilla Firefox und Microsoft Edge ist eine umfangreiche Kampagne mit bösartigen Add-ons aufgefallen, die unter dem Namen GhostPoster bekannt wurde. Nach aktuellen Analysen wurden mindestens 17 schädliche Browser-Erweiterungen insgesamt über 840.000 Mal installiert und missbrauchten damit gezielt das Vertrauen in die offiziellen Marktplätze.
Ursprung der GhostPoster-Kampagne und Ausweitung auf mehrere Browser
Erste Hinweise auf GhostPoster tauchten Ende 2023 in einer Analyse von Koi Security auf. Damals identifizierten die Forscher 17 manipulierte Erweiterungen für Firefox, die Steganografie nutzten – also das Verstecken von Daten in scheinbar harmlosen Dateien wie Bildern. In die PNG-Logos der Add-ons war versteckter JavaScript-Schadcode eingebettet, die Erweiterungen erreichten bereits zu diesem Zeitpunkt über 50.000 Installationen.
Laut einem aktuellen Bericht des Sicherheitsanbieters LayerX ist die GhostPoster-Kampagne jedoch deutlich umfassender und langlebiger, als zunächst angenommen. Demnach begann die Aktivität mit Erweiterungen für Microsoft Edge und wurde anschliessend auf den Chrome Web Store und den Firefox Add-ons Marketplace ausgedehnt. Einzelne bösartige Erweiterungen sollen bereits seit 2020 in den Stores verfügbar gewesen sein, ohne von den Prüfmechanismen oder Nutzern erkannt zu werden – ein deutlicher Hinweis auf die Grenzen klassischer Store-Moderation.
Angriffstechnik: Steganografie, Remote-Code und Umgehung von Store-Kontrollen
Kern der GhostPoster-Taktik ist der Einsatz von Steganografie, um den eigentlichen Schadcode zu verbergen. Statt den bösartigen JavaScript-Code direkt im Erweiterungspaket zu platzieren, laden die Add-ons stark obfuszierten (verschleierten) Code von externen Servern nach, der in Bilddateien versteckt ist. Ein Skript im Browser liest die Bilddaten, extrahiert den eingebetteten Code, entschlüsselt ihn und führt ihn lokal aus.
Dieses mehrstufige Vorgehen erschwert sowohl die statische Analyse (Überprüfung des Quellcodes im Store) als auch viele klassische Sicherheits-Scans auf dem Endgerät, da der kritischste Teil der Logik erst zur Laufzeit und von einem entfernten Server geladen wird. Für Angreifer entsteht so ein flexibles System, in dem sich die eigentliche Schadfunktion schnell austauschen oder an Erkennungsmethoden anpassen lässt.
Nach der Aktivierung führten die GhostPoster-Erweiterungen vor allem folgende Aktionen aus:
- Mitriss der Nutzeraktivität auf besuchten Webseiten, inklusive Tracking des Surfverhaltens;
- Manipulation von Affiliate-Links auf grossen E‑Commerce- und Service-Plattformen, um Provisionen auf die Konten der Angreifer umzuleiten;
- Einbettung unsichtbarer iframes mit dem Ziel, Werbeeinblendungen künstlich aufzurufen und Klicks zu generieren – ein klassisches Muster von Ad-Fraud (Werbebetrug).
Weiterentwicklung am Beispiel „Instagram Downloader“: Modularität und Tarnung
LayerX beschreibt eine technische Evolution der Kampagne am Beispiel des manipulierten Add-ons Instagram Downloader. Während das grundlegende Prinzip der versteckten Nutzlast unverändert blieb, wurde die Ausführung deutlich raffinierter gestaltet. Die für den Angriff zentrale Logik wanderte in einen Background Script (Hintergrundskript), der unabhängig von der sichtbaren Benutzeroberfläche der Erweiterung läuft.
In dieser Ausprägung nutzen die Angreifer nicht mehr nur das sichtbare Logo-Bild, sondern auch zusätzliche Bilddateien, die in der Erweiterung selbst eingebettet sind. Der Hintergrundprozess führte einen mehrstufigen Ablauf aus:
- Auslesen des Byte-Streams eines Bildes und Suche nach einem markanten Trennmarker (etwa einer speziellen Zeichenfolge);
- Extraktion und Ablage der versteckten Daten im lokalen Speicher der Erweiterung;
- Dekodierung der extrahierten Zeichenkette aus Base64 und Ausführung als JavaScript-Code im Browser.
Diese modulare und verzögerte Ausführung erhöht die Überlebensfähigkeit der Malware: Der Zeitraum, in dem die Erweiterung scheinbar passiv bleibt, verlängert sich, und der eigentliche Schadcode ist nur kurzzeitig aktiv. Das erschwert sowohl signaturbasierte Scans als auch verhaltensorientierte Erkennung, die auf auffällige Aktivitäten im Browser achtet.
Ausmass des Schadens und Reaktion der Browser-Hersteller
In Summe schätzen die Forscher, dass GhostPoster-Erweiterungen über die drei grossen Plattformen hinweg rund 840.000 Installationen erreichten. Für die Täter bedeutet dieser Verbreitungsgrad einen konstanten Strom an Einnahmen aus Affiliate-Betrug und Werbemissbrauch sowie Zugriff auf wertvolle Verhaltensdaten der Nutzer, die auch für spätere Kampagnen oder Profilbildungen genutzt werden können.
Nach Veröffentlichung der Analysen wurden die bekannten GhostPoster-Erweiterungen aus den offiziellen Stores von Google, Mozilla und Microsoft entfernt. Erfahrungsgemäss ist dies jedoch selten das Ende der Kampagne. In früheren Fällen tauchten ähnliche Erweiterungen unter neuen Namen, leicht veränderter Funktionalität und frischen Entwicklerkonten erneut auf. Genau diese Austauschbarkeit ist einer der Gründe, warum der Browser-Erweiterungs-Ökosystem-Ansatz ein attraktiver Angriffsvektor für Cyberkriminelle bleibt.
Empfohlene Schutzmassnahmen für Endnutzer und Unternehmen
Der GhostPoster-Fall macht deutlich, dass auch ein offizieller Browser-Store keine vollständige Sicherheitsgarantie bietet. Sowohl private Anwender als auch Organisationen sollten Browser-Erweiterungen daher wie jede andere Software behandeln: mit einem klaren Sicherheits- und Freigabeprozess.
Zu den wichtigsten Massnahmen gehören:
- Installation von Erweiterungen nur aus vertrauenswürdigen Quellen und von bekannten Entwicklern mit nachvollziehbarer Historie und Bewertungen;
- kritische Prüfung der angeforderten Berechtigungen (z.B. Zugriff auf Browserverlauf oder „Daten auf allen Websites lesen und ändern“);
- regelmässige Überprüfung und Bereinigung installierter Add-ons; alles, was nicht zwingend benötigt wird, sollte entfernt werden;
- Einsatz moderner Endpoint-Sicherheitslösungen (EDR/NGAV), die anomales Browser-Verhalten analysieren und blockieren können;
- in Unternehmensumgebungen Nutzung von Richtlinien und Allowlists, die nur eine begrenzte, geprüfte Menge an Erweiterungen zulassen;
- Sensibilisierung der Mitarbeitenden für die Risiken scheinbar „praktischer“ Download- oder Social-Media-Tools, die oft als Tarnung dienen.
GhostPoster zeigt, wie professionell Angreifer die Vertrauensmechanismen moderner Browser-Ökosysteme ausnutzen und technische Verfahren wie Steganografie einsetzen, um Sicherheitskontrollen zu umgehen. Wer heute auf Browser-Erweiterungen setzt – ob privat oder im Unternehmen – sollte diese bewusst managen, regelmässig überprüfen und durch mehrschichtige Sicherheitsmassnahmen absichern. Es lohnt sich, jetzt die eigenen Add-ons zu inventarisieren, verdächtige Erweiterungen konsequent zu entfernen und Sicherheitsrichtlinien für zukünftige Installationen klar zu definieren.
