GhostPoster: Schadsoftware tarnt sich in Browser-Erweiterungen

Eine hochgefährliche Schadsoftware-Kampagne hat über 840.000 Nutzer infiltriert. Die als “GhostPoster” bekannte Attacke nutzt 17 bösartige Browser-Erweiterungen, die in offiziellen Stores von Google, Mozilla und Microsoft jahrelang unentdeckt blieben.

Das Besondere an GhostPoster ist die raffinierte Tarnung. Die Angreifer verstecken schädlichen JavaScript-Code in den PNG-Bilddateien der Erweiterungslogos. Nach der Installation extrahiert die Software diesen Code und startet einen mehrstufigen Angriff – völlig unbemerkt vom Nutzer.

Diese steganografische Methode umgeht die statischen Analysetools der Browser-Stores. Zur weiteren Tarnung wartet die Malware oft 48 Stunden oder länger, bevor sie mit ihren Steuerungsservern kommuniziert. Diese Verzögerung erschwert es Sicherheitssystemen, die schädliche Aktivität der Installation zuzuordnen.

Passend zum Thema GhostPoster und bösartige Browser-Erweiterungen: Aktuelle Hacker-Tricks wie versteckte Payloads in Bildern und unsichtbare Werbeframes führen zu hohen Schäden — oft ohne sichtbare Spuren im Browser. Ein kostenloser Anti-Phishing-Report erklärt, wie Sie infizierte Erweiterungen erkennen, welche Sofortmaßnahmen helfen und wie Sie Ihr Surfverhalten schützen können. Jetzt Anti-Phishing-Report herunterladen

So verdienen die Kriminellen Geld

Einmal aktiv, setzt GhostPoster auf mehrere betrügerische Einnahmequellen:

• Affiliate-Betrug: Die Software überwacht das Surfverhalten und ersetzt auf E-Commerce-Seiten legitime Partner-Links durch eigene. So kassieren die Kriminellen Provisionen für Online-Käufe.
• Klickbetrug: Unsichtbare Werbeframes werden in besuchte Webseiten eingeschleust. Die generierten Klicks bringen den Angreifern Werbeeinnahmen, obwohl Nutzer die Anzeigen nie sehen.
• Sicherheitslücken: Die Erweiterungen entfernen wichtige Sicherheitsheader wie Content-Security-Policy (CSP). Das schwächt den Schutz des Browsers gegen weitere Angriffe wie Cross-Site-Scripting.

Langlebige und sich entwickelnde Bedrohung

Die Kampagne ist nicht nur langlebig – einige Erweiterungen stammen aus dem Jahr 2020 –, sondern entwickelt sich weiter. Sicherheitsforscher von LayerX entdeckten eine fortgeschrittene Variante in der Erweiterung ‘Instagram Downloader’. Diese Version verlagert die schädliche Logik in das Hintergrundskript und nutzt eine gebündelte Bilddatei als Payload-Container.

Die Kampagne begann vermutlich im Microsoft Edge Store, bevor sie auf Firefox und Chrome expandierte. Diese langsame, methodische Ausbreitung deutet auf ein langfristig angelegtes Operationsmodell hin, das auf Persistenz statt auf schnelle, auffällige Verbreitung setzt.

Was Nutzer jetzt tun müssen

Google, Mozilla und Microsoft haben die 17 identifizierten Erweiterungen aus ihren Stores entfernt. Doch die Deinstallation von den Servern schützt bereits infizierte Nutzer nicht automatisch. Die Erweiterungen bleiben in den Browsern aktiv.

Besonders betroffen sind populäre Tools wie “Google Translate in Right Click” (über 522.000 Installationen) und “Translate Selected Text with Google” (fast 160.000 Installationen). Nutzer sollten ihre installierten Erweiterungen dringend überprüfen und verdächtige Add-ons manuell entfernen.

Sicherheitsexperten raten generell zur Vorsicht: Selbst Erweiterungen aus offiziellen Quellen können bösartigen Code enthalten. Nutzer sollten die Anzahl ihrer Add-ons minimieren, die angeforderten Berechtigungen kritisch prüfen und ihre Browser regelmäßig auf unnötige oder verdächtige Erweiterungen überprüfen.

PS: In 4 klaren Schritten zur effektiven Abwehr gegen solche Angriffe — von der Erkennung verdächtiger Erweiterungen über sichere Berechtigungseinstellungen bis zur Wiederherstellung kompromittierter Browser-Profile. Dieses Anti-Phishing-Paket bietet praxisnahe Checklisten und Sofortmaßnahmen, die auch technisch weniger versierte Nutzer umsetzen können. Jetzt Anti-Phishing-Paket sichern