Laut Microsoft setzte sich die Erweiterung nach der Installation selbst als Standardsuchmaschine des Browsers fest. Jede Suche lief dann zuerst über perplexity-ai[.]online, eine täuschend ähnliche Domain, die die echte Adresse perplexity.ai nachahmte. Dort protokollierte der Server des Angreifers die Anfrage zusammen mit Browser-Headern, IP-Adresse und User-Agent, bevor eine Regel den Nutzer an eine echte Suchmaschine weiterleitete.

Gerade diese Weiterleitung ließ die Suche nach außen unauffällig erscheinen. Die Ergebnisse wirkten normal, weil die Umleitung zu Perplexity, Google oder Bing erst nach der ersten Station auf dem Angreifer-Server erfolgte. Nach Einschätzung von Microsoft fand der eigentliche Datenabfluss genau an diesem ersten Punkt vor der Weiterleitung statt.

Noch weiter ging die Erweiterung bei Eingaben in die Adressleiste. Microsoft zufolge zeigte auch die Konfiguration für Live-Suchvorschläge, die suggest_url, auf dieselbe Angreifer-Domain. Damit wurden nicht nur vollständige Suchanfragen, sondern bereits einzelne Zeichen während der Eingabe an den Server übermittelt, noch bevor Nutzer die Eingabetaste drückten.

Chrome erlaubt es Erweiterungen grundsätzlich, Suchanbieter zu überschreiben, und auch legitime Erweiterungen nutzen diese Möglichkeit. Entscheidend ist für Microsoft jedoch, dass diese Erweiterung den Datenverkehr umschrieb und umleitete, obwohl ein Suchfeld dafür keinen legitimen Grund habe. Dafür forderte sie Berechtigungen aus der declarativeNetRequest-Familie an. Zusätzlich lieferte sie serverseitigen Code aus, der jede Anfrage protokollierte. Für Microsoft ist das ein Beleg dafür, dass die Datensammlung beabsichtigt war und nicht bloß ein Nebeneffekt der Umleitung.

Nach Angaben des Defender-Forschungsteams enthielt die Erweiterung außerdem deaktivierte Umleitungsregeln für Google und Bing. Die gleiche Technik hätte sich damit auch für diese Suchmaschinen aktivieren lassen. Zudem sah die Erweiterung Raum vor, später WebAssembly-Code auszuführen — etwas, wofür ein einfaches Suchwerkzeug laut Microsoft keinen nachvollziehbaren Zweck hat.

Microsoft ordnet den Fall in eine Serie bösartiger Erweiterungen ein, die sich hinter KI-Marken verstecken. Einige tauschen demnach die Standardsuchmaschine aus, um Eingaben abzugreifen. Andere kapern Suchanbieter oder schöpfen Unterhaltungen mit ChatGPT und DeepSeek ab. Frühere eigene Untersuchungen von Microsoft brachten diese Welle des Abschöpfens von KI-Chats mit rund 900.000 Installationen in mehr als 20.000 Unternehmensnetzwerken in Verbindung.

Der aktuelle Fall unterscheidet sich Microsoft zufolge durch sein Ziel: Nicht KI-Chats standen im Mittelpunkt, sondern Suchanfragen und Zeichenfolgen aus der Adressleiste, erfasst über die regulären Erweiterungsmechanismen von Chrome. Wer „Search for perplexity ai“ installiert hatte, sollte die Erweiterung entfernen und prüfen, ob die Standardsuchmaschine verändert wurde. Wer hinter der Erweiterung stand, ist laut Microsoft nicht bekannt. Auch dazu, wie viele Nutzer sie vor der Entfernung installiert hatten, machte das Unternehmen keine Angaben.