NexShield: Chrome-Erweiterung installiert heimlich Firmen-Backdoor

Eine bösartige Chrome-Erweiterung hat Unternehmen mit einer neuartigen Angriffstechnik infiltriert. Die als NexShield getarnte Software nutzt einen gezielten Browser-Absturz, um Opfer zur Installation einer Hintertür zu manipulieren.

Sicherheitsforscher der Firma Huntress haben die Kampagne aufgedeckt und die Methode „CrashFix“ getauft. Hinter der Operation steht die seit Anfang 2025 aktive Bedrohungsgruppe KongTuke. Ihr Ziel: Die Verbreitung des bisher unbekannten Fernzugriff-Trojans ModeloRAT in Unternehmensnetzwerken.

Der Angriff beginnt harmlos. Nutzer suchen nach Werbeblockern und werden über manipulierte Anzeigen zum offiziellen Google Chrome Web Store geleitet. Dort installieren sie NexShield – eine Fälschung des populären „uBlock Origin Lite“. Selbst die Entwicklerangaben wurden gefälscht, um Vertrauen vorzutäuschen. Google hat die Erweiterung inzwischen entfernt.

Die Täuschung hat System. Nach der Installation wartet NexShield etwa 60 Minuten. Dann startet sie einen lokalen Denial-of-Service-Angriff auf den Browser. Ein Skript versucht, milliardenfach Port-Verbindungen aufzubauen, was den Arbeitsspeicher überlastet und den Browser zum Absturz bringt.

Moderne Angriffe wie die als „NexShield“ getarnte Chrome‑Erweiterung zeigen, wie schnell Angreifer Unternehmensnetzwerke kompromittieren — nicht selten über bösartige Add‑ons und nachgelagerte PowerShell‑Backdoors. Das kostenlose E‑Book „Cyber Security Awareness Trends“ erklärt aktuelle Angriffsmuster, wie man verdächtige Erweiterungen erkennt und welche technischen sowie organisatorischen Maßnahmen IT‑Verantwortliche sofort umsetzen sollten. Inklusive Checklisten für Mitarbeiter‑Schulungen und Hinweise zu Endpoint‑Security. Jetzt kostenlosen Cyber‑Security‑Guide anfordern

Gefälschte Warnung als Türöffner

Startet der verunsicherte Nutzer den Browser neu, erscheint keine Startseite, sondern eine gefälschte Sicherheitswarnung. „Browser abnormal beendet“, heißt es dort. Zur „manuellen Wiederherstellung“ soll der Nutzer den Windows-Ausführen-Dialog öffnen (Win+R), seine Zwischenablage einfügen (Strg+V) und Enter drücken.

Das ist die Falle. Unbemerkt hat die Erweiterung bereits einen bösartigen PowerShell-Befehl in die Zwischenablage kopiert. Durch Befolgen der Anleitung führt das Opfer den Befehl selbst aus – und installiert damit den ModeloRAT.

Unternehmen im Visier der Angreifer

Die Analyse zeigt ein klares Ziel: Firmennetzwerke. ModeloRAT wird gezielt auf Computern installiert, die in eine Unternehmensdomäne eingebunden sind. Solche Systeme bieten Angreifern Zugang zu sensiblen internen Ressourcen, Active Directory und Möglichkeiten zur seitlichen Bewegung im Netzwerk.

Die NexShield-Erweiterung ist ein leicht modifizierter Klon des echten uBlock Origin Lite. In einer JavaScript-Datei fanden Forscher etwa 3.200 zusätzliche Bytes mit der Schadfunktion. Die Erweiterung kommuniziert mit einem Command-and-Control-Server über eine typosquatting-Domain.

Immer raffiniertere Erweiterungs-Angriffe

Die CrashFix-Kampagne unterstreicht die wachsende Bedrohung durch bösartige Browser-Erweiterungen – selbst aus offiziellen Stores. Angreifer setzen zunehmend auf verzögerte Ausführung und die Imitation seriöser Software, um Sicherheitschecks zu umgehen.

Die Fokussierung auf Domänen-Computer zeigt eine strategische Verschiebung hin zu Organisationen, bei denen Daten- und Netzwerkkompromittierung lukrativer sind. Sicherheitsexperten raten zu größter Vorsicht bei der Installation von Erweiterungen. Unternehmen sollten kontrollieren, welche Add-ons Mitarbeiter installieren dürfen, und Endpoint-Security-Lösungen einsetzen, die verdächtige PowerShell-Aktivitäten erkennen.

PS: Sie wollen Ihr Unternehmen praktisch schützen, ohne das IT‑Budget zu sprengen? Unser kostenloser Leitfaden zeigt konkrete Schritte — von Richtlinien für Browser‑Addons über Erkennungsregeln für verdächtige PowerShell‑Aufrufe bis zu einfachen Maßnahmen für Endpoint‑Monitoring. Zahlreiche Praxistipps helfen IT‑Verantwortlichen, Risiken sofort zu reduzieren. Kostenlosen Cyber‑Sicherheitsleitfaden herunterladen