Sicherheitsforscher haben 30 bösartige Chrome-Erweiterungen entdeckt, die sich als KI-Assistenten ausgeben, aber heimlich Nutzerdaten und sensitive Informationen abgreifen. Die Malware-Extensions wurden über 260.000 Mal heruntergeladen und sind teilweise immer noch im Chrome Web Store verfügbar.
Der Chrome Web Store ist von Dutzenden gefälschter Browser-Erweiterungen überflutet worden, die vorgeben, AI-Assistenten bereitzustellen, während sie hinterrücks persönliche Daten ihrer Opfer abzapfen. Das Sicherheitsunternehmen LayerX hat 30 Google-Chrome-Erweiterungen identifiziert, die sich bis auf oberflächliche Branding-Unterschiede wie aus einem Guss gleichen. Viele davon erfreuen sich großer Beliebtheit mit Zehntausenden Downloads pro Stück. Sie alle geben sich als KI-Assistenten aus und spielen diese Rolle überzeugend – doch insgeheim stehlen sie E-Mail-Inhalte, Browser-Daten und alles andere, das Nutzer vertrauensvoll in sie eingeben.
“Während wir ähnliche Taktiken bei bösartigen Erweiterungen in der Vergangenheit beobachtet haben, ist das jetzt angewendete Vorgehen neu und besorgniserregend”, erklärt LayerX-Sicherheitsforscherin Natalie Zargarov. “Statt sich als Banken oder E-Mail-Logins auszugeben, geben sich Angreifer jetzt als künstliche Intelligenz und Entwickler-Tools aus – Orte, an denen Nutzer daran gewöhnt sind, API-Schlüssel, Token und sensitive Daten ohne zu zögern einzugeben.”
Einige der im Chrome Web Store gefundenen Apps imitieren bekannte Chatbot-Anwendungen, andere nutzen dagegen nur die Markenassoziation. “Statt direkter Fälschung nutzen diese Apps Markenassoziationen aus. Sie spielen mit der Vertrautheit der Nutzer gegenüber bekannten KI-Modellen und der Wahrnehmung, dass ‘KI-Assistent’ eine Verbindung zu großen Anbietern impliziert”, erklärt Zargarov. “Das wirkt besonders glaubwürdig, wenn es über den offiziellen Chrome Web Store verbreitet wird.”
Bei der Installation zeigt sich die Benutzeroberfläche völlig normal: Die Erweiterung wird in die Symbolleiste eingefügt, ein Chat-Interface öffnet sich, und auf Eingaben folgen plausible, KI-generierte Antworten. Die Realität ist jedoch deutlich problematischer. Das Chat-Interface ist tatsächlich ein von Angreifern kontrolliertes Full-Screen-iFrame, das der aktuellen Seite überlagert wird. Die eingegebenen Prompts werden über den Server der Angreifer gefiltert, der möglicherweise eine echte LLM-API durchreicht und eine plausible Antwort zurückgibt.
Mittlerweile erfasst der Angreifer-Server die vermutlich viel zu sensiblen Informationen, die das Opfer eingibt. “Die Gefahr entsteht dadurch, wie normal die AI-Nutzung geworden ist. Menschen geben regelmäßig hochsensible Informationen in KI-Tools ein, ohne diese groß zu hinterfragen”, sagt Zargarov.
Stellen Sie sich etwa einen Mitarbeiter vor, der eine dieser bösartigen Erweiterungen installiert hat. Zargarov skizziert ein Szenario: “Der Mitarbeiter öffnet ein CRM-System mit Kundennamen, Kontaktdaten und Transaktionshistorie. Er klickt auf ‘Zusammenfassen.’ Im Hintergrund: Die Erweiterung liest den Seiteninhalt, dieser wird an von Angreifern kontrollierte Server übertragen, eine Zusammenfassung wird zurückgesendet, und der vollständige Datensatz kann remote gespeichert werden. Der Mitarbeiter sieht nur eine harmlose Zusammenfassung. Unterdessen: Kundendaten können außerhalb der Unternehmenskontrolle gespeichert, Geschäftsgeheimnisse exfiltriert oder regulierte Daten aus konformen Systemen heraustransferiert werden.”
Die Risiken für Verlust von Intellectual Property, Verstöße gegen Vorschriften und darauf folgende Cyberangriffe werden schnell offensichtlich. Bekannte Apps wie “Gemini AI Sidebar”, “ChatGPT Translate” und generische Namen wie “AI Sidebar”, “AI Assistant” und “AI GPT” wurden jeweils zehntausende Male heruntergeladen. Insgesamt sammelten die 30 Erweiterungen über 260.000 Downloads.
Zum Zeitpunkt der Berichterstattung, über 24 Stunden nach der Veröffentlichung des LayerX-Blog-Beitrags, sind viele dieser Apps noch immer im Chrome Web Store verfügbar. Sie verfügen über reichlich Bewertungen mit durchschnittlich über vier Sternen, manche wurden sogar vom Chrome Web Store vorgestellt – mit einem grünen “Featured”-Badge für zusätzliche Glaubwürdigkeit.
Zargarov würdigt dabei Googles Herausforderung an. “Bei vielen dieser Erweiterungen sitzt die eigentliche ‘Logik’ in einer Remote-Webanwendung, die via iFrame geladen wird”, erklärt sie. “Bösartige oder datenschutzverletztende Aktivitäten finden off-platform statt, und die Erweiterung selbst benötigt möglicherweise nur minimale Berechtigungen. Das bedeutet, dass eine Erweiterung bei der Überprüfung konform wirken kann – mit sauberen Metadaten, minimalem lokalem Code und ohne offensichtliche Warnsignale in der statischen Analyse.”
“Wenn Google nicht tief in Netzwerk-Endpunkte, gemeinsame TLS-Zertifikate, wiederverwendete Hosting-Provider und identische remote geladene JavaScript-Bundles hineinschaut”, fügt sie hinzu, “können verwandte Erweiterungen der Erkennung entgehen. Ich kann zu Googles internen Review-Mechanismen nicht sprechen, aber von außen betrachtet deutet diese Art von Kampagne darauf hin, dass eine erweiterungsübergreifende Korrelation entweder begrenzt oder nicht priorisiert ist.”
Quelle: Dark Reading