Chrome: Falsche VPN-Tools spionieren neun Millionen Nutzer aus

Eine massive Cyberangriffs-Kampagne erschüttert diese Woche das Vertrauen in Browser-Erweiterungen: Vermeintliche “Gratis-VPN”-Tools im Chrome Web Store entpuppten sich als ausgeklügelte Spionage-Werkzeuge. Über neun Millionen Nutzer installierten die als Sicherheitslösung getarnten Erweiterungen – und öffneten Hackern damit jahrelang Tür und Tor zu ihren persönlichsten Daten. Das Sicherheitsunternehmen LayerX Security deckte am 19. November 2025 auf, wie die Angreifer ausgerechnet mit dem Versprechen von Privatsphäre genau diese systematisch aushöhlten.

Der erste Blick täuschte perfekt: Mit professionellen Designs und vertrauenswürdigen Namen wie “VPN Professional Free Secure and Unlimited VPN Proxy” bauten die Angreifer eine beeindruckende Fassade auf. Doch statt den Datenverkehr wie ein echtes VPN zu verschlüsseln, verwandelten die Erweiterungen den Browser in ein ferngesteuertes Überwachungsinstrument. Die Betrüger luden versteckte Konfigurationsdateien von ihren Servern und übernahmen damit die komplette Kontrolle über den Netzwerkverkehr der Opfer.

Besonders dreist: Als Google im Mai 2025 zwei Hauptversionen der Schadsoftware entfernte, tauchte bereits im Juli 2025 ein nahezu identischer Klon auf. Die Drahtzieher zeigten damit unmissverständlich, dass sie ihre lukrative Operation nicht kampflos aufgeben würden.

Passend zum Thema Browser-Erweiterungen, die als “Gratis‑VPN” enttarnt wurden: Das kostenlose E‑Book “Cyber Security Awareness Trends” erklärt verständlich, wie Angreifer über Erweiterungen, nachladbaren Code und Phishing Zugang zu Daten bekommen – und welche pragmatischen Schutzmaßnahmen Sie sofort umsetzen können. Mit praxisnahen Checklisten für IT‑Verantwortliche und klaren Schritten für Privatanwender hilft der Report dabei, Risiken spürbar zu reduzieren. Kostenloses Cyber-Security-E-Book herunterladen

Wie die digitale Falle zuschnappt

Das Kernprinzip des Angriffs ist so simpel wie gefährlich: Sämtliche Browser-Anfragen der Nutzer werden über die Server der Angreifer umgeleitet. Als Proxy-System getarnt, verschaffen sich die Betrüger Einblick in sensible Informationen – von Login-Daten über Finanztransaktionen bis hin zu intimen Surfgewohnheiten. Doch dabei bleibt es nicht.

Die Angreifer können aktiv eingreifen: HTML- oder JavaScript-Code wird in besuchte Webseiten eingeschleust, Nutzer landen auf Phishing-Seiten oder Werbefarmen, Downloads führen direkt zu weiterer Schadsoftware. Die neuesten Varianten gehen noch raffinierter vor: Sie verzögern die Aktivierung der schädlichen Funktionen, um automatische Sicherheitsprüfungen zu umgehen. Der bösartige Code wird erst zur Laufzeit nachgeladen – statische Analysetools laufen ins Leere.

Ein besonders aggressives Feature überrascht selbst Sicherheitsexperten: Die Schadsoftware durchsucht den Browser nach konkurrierenden Proxy-Erweiterungen und deaktiviert diese kurzerhand. So sichern sich die Angreifer die exklusive Kontrolle über den Datenverkehr ihrer Opfer.

Eine Bedrohung mit System

Was nach einem Einzelfall klingt, entpuppt sich als Spitze des Eisbergs. In einer parallelen Kampagne entdeckten Sicherheitsforscher über 100 weitere bösartige Chrome-Erweiterungen. Diesmal tarnten sie sich als KI-Tools, Krypto-Dienste oder alternative VPN-Services wie “Forti VPN” und “Eart VPN”. Auch hier das gleiche Muster: Verbindung zu Schadservern, Diebstahl von Cookies und Zugangstokens, Fernsteuerung durch die Angreifer.

Die Dimensionen sind alarmierend: Anfang November 2025 sah sich Google gezwungen, eine offizielle Warnung vor betrügerischen VPN-Apps und -Erweiterungen herauszugeben. Das Unternehmen betonte, dass Angreifer gezielt vertrauenswürdige Marken imitieren und mit Social Engineering arbeiten, um Nutzer zur Installation von Malware zu bewegen – darunter Info-Stealer und Banking-Trojaner.

Das grundlegende Problem liegt in der Architektur selbst: Browser-Erweiterungen erhalten weitreichende Zugriffsrechte auf sensible Daten, einschließlich authentifizierter Sitzungen. Nutzer vertrauen dem offiziellen Chrome Web Store – ein Vertrauen, das Kriminelle systematisch ausnutzen. Die Zeitspanne zwischen Veröffentlichung und Entdeckung einer schädlichen Erweiterung wird zur gefährlichen Lücke für Millionen Anwender.

Der Wettlauf zwischen Schutz und Angriff

Die Hartnäckigkeit der “Gratis-VPN”-Kampagne verdeutlicht das anhaltende Katz-und-Maus-Spiel zwischen Cyberkriminellen und Plattform-Sicherheit. Zwar entfernt Google entdeckte Schad-Erweiterungen umgehend, doch die Leichtigkeit, mit der Angreifer leicht modifizierte Klone nachschieben, bleibt eine Herausforderung.

Was können Nutzer konkret tun? Sicherheitsexperten und Google empfehlen folgende Schutzmaßnahmen:

• Berechtigungen kritisch prüfen: Warum sollte ein VPN auf Kontakte oder private Nachrichten zugreifen? Misstrauen ist angebracht.
• Auf etablierte Anbieter setzen: Bekannte, verifizierte und oft kostenpflichtige VPN-Dienste sind die sicherere Wahl. “Kostenlos” bedeutet häufig: Sie bezahlen mit Ihren Daten.
• Nur offizielle Quellen nutzen: Installationen ausschließlich aus dem Chrome Web Store oder Google Play Store, der für VPN-Apps einen Verifizierungsprozess hat.
• Regelmäßige Überprüfung: Quartalsweise sollten alle installierten Erweiterungen auf den Prüfstand – unbekannte oder ungenutzte gehören deinstalliert.
• Erweiterten Schutz aktivieren: Chromes “Safe Browsing Enhanced Protection”-Modus warnt in Echtzeit vor gefährlichen Websites und Downloads.

Die Botschaft ist klar: Während Plattformen ihre Abwehrmechanismen verstärken, bleibt der Nutzer die erste Verteidigungslinie. Gerade bei Tools, die Sicherheit versprechen, ist gesunde Skepsis die beste Schutzmaßnahme.

PS: Sie möchten sich gegen bösartige Erweiterungen, nachladbaren Code und Phishing-Angriffe wappnen? Der kostenlose Report fasst konkrete Schutzmaßnahmen für Unternehmen und Privatanwender zusammen – von Erkennungsmethoden bis zu sofort umsetzbaren Sofort-Maßnahmen ohne großen Aufwand. Ideal, um Ihre Geräte, Zugangsdaten und sensiblen Konten schnell besser zu schützen. Jetzt kostenlosen Cyber-Security-Report anfordern