Den Weg von QuickLens hat John Tuckner von Annex Security nachgezeichnet. Demnach wurde die Erweiterung am 11. Oktober 2025 — nur zwei Tage nach ihrer Veröffentlichung — von “akshayanuonline@gmail.com” auf ExtensionHub zum Verkauf angeboten. Am 1. Februar 2026 wechselte der Eigentümer in der Chrome-Web-Store-Eintragsseite zu “support@doodlebuggle.top”.

Das schädliche Update vom 17. Februar 2026 behielt die ursprüngliche Funktion bei, ergänzte sie aber um die Fähigkeit, Sicherheits-Header wie X-Frame-Options aus jeder HTTP-Antwort zu entfernen. Dadurch konnten in eine Webseite eingeschleuste Skripte beliebige Anfragen an andere Domains stellen und die Schutzmechanismen der Content Security Policy (CSP) umgehen.

Zusätzlich erkannte die Erweiterung Land, Browser und Betriebssystem des Nutzers und fragte alle fünf Minuten einen externen Server nach JavaScript-Code ab. Dieser wurde im lokalen Speicher des Browsers abgelegt und bei jedem Seitenaufruf ausgeführt, indem ein verstecktes 1×1-Pixel-GIF als img-Element eingefügt und der JavaScript-Code als dessen “onload”-Attribut gesetzt wurde. “Der eigentliche Schadcode taucht in den Quelldateien der Erweiterung nie auf”, erklärte Tuckner. “Die statische Analyse zeigt nur eine Funktion, die Bildelemente erzeugt. Die Schadlasten werden vom C2-Server geliefert und im lokalen Speicher abgelegt — sie existieren nur zur Laufzeit.”

Bei ShotBird stellte monxresearch-sec einen anderen Auslösemechanismus fest: Statt eines 1×1-Pixel-Bilds kamen direkte Rückruffunktionen zum Einsatz, um JavaScript einzuschleusen. Dieser Code zeigte eine gefälschte Aufforderung zum Chrome-Update an. Wer darauf klickte, landete auf einer Seite im ClickFix-Stil, die Nutzer dazu brachte, den Windows-Ausführen-Dialog zu öffnen, “cmd.exe” zu starten und einen PowerShell-Befehl einzufügen. Das führte zum Download einer ausführbaren Datei namens “googleupdate.exe” auf Windows-Systemen.

Die Malware klinkt sich anschließend in Eingabe-, Textbereich- und Auswahlfelder ein und erfasst alle eingegebenen Daten — darunter Zugangsdaten, PINs, Kartendaten, Token und behördliche Kennungen. Außerdem kann sie im Chrome-Browser gespeicherte Daten wie Passwörter, Verlauf und Erweiterungsinformationen abgreifen. “Das ist eine zweistufige Missbrauchskette”, so der Forscher: ferngesteuerte Browser-Kontrolle auf Erweiterungsseite plus ein Übergang zur Codeausführung auf Host-Ebene über gefälschte Updates. Bei mindestens einem betroffenen System sei die Skriptausführung auf dem Host bestätigt.

Hinter beiden kompromittierten Erweiterungen wird derselbe Bedrohungsakteur vermutet, der sie parallel betreibt — wegen identischer C2-Architektur, ClickFix-Ködern im Browser-Kontext und des Eigentümerwechsels als Infektionsweg. Der ursprüngliche Entwickler hat unter seinem Namen mehrere weitere Erweiterungen im Chrome Web Store veröffentlicht, die alle ein “Featured”-Abzeichen erhielten.

Parallel warnte das Microsoft Defender Security Research Team vor schädlichen Chromium-basierten Erweiterungen, die sich als legitime KI-Assistenten ausgeben, um LLM-Chatverläufe und Browserdaten abzugreifen. Im großen Maßstab werde so “eine scheinbar vertrauenswürdige Produktivitätserweiterung zu einem dauerhaften Datensammelmechanismus” im täglichen Browser-Einsatz von Unternehmen.

Weitere Funde betreffen unter anderem die Erweiterung “lmΤoken Chromophore”, die laut Socket-Forscher Kirill Boychenko imToken imitiert und Krypto-Seed-Phrasen über Phishing-Weiterleitungen stiehlt, sowie mehrere von Palo Alto Networks Unit 42 gemeldete Add-ons mit Affiliate-Hijacking und Datenabfluss — darunter “Chrome MCP Server - AI Browser Control” als vollwertiger Fernzugriffstrojaner und das Add-on “Palette Creator” mit über 100.000 Nutzern. Betroffene sollten die genannten Erweiterungen umgehend entfernen, auf das Querladen unverifizierter Erweiterungen verzichten und ihren Browser auf unbekannte Add-ons prüfen.