GhostPoster-Malware kompromittiert über 840.000 Browser

Eine raffinierte Malware-Kampagne hat weltweit Hunderttausende Nutzer infiziert. Die als „GhostPoster“ bekannte Schadsoftware versteckte ihren Code in den Logo-Dateien scheinbar harmloser Browser-Erweiterungen. Betroffen waren Add-ons für Chrome, Firefox und Edge.

Sicherheitsforscher von LayerX deckten das volle Ausmaß der Kampagne im Januar 2026 auf. Die Angreifer nutzten eine Technik namens Steganografie, um bösartigen JavaScript-Code in den Pixeldaten von PNG-Logos zu verbergen. Dieser Trick umging die Sicherheitsprüfungen der offiziellen Add-on-Marktplätze von Google, Mozilla und Microsoft.

Die perfekte Tarnung: Code im Logo

Die Infektionsmethode war besonders heimtückisch. Statt den Schadcode in den Skripten der Erweiterung zu platzieren, versteckten ihn die Angreifer im Logo. Beim Laden der Erweiterung extrahierte ein spezieller Code die bösartige Nutzlast aus der Bilddatei.

Browser-Erweiterungen mit verstecktem Schadcode zeigen, wie einfach Angreifer in Firmen- und Privatnetzwerke eindringen können. Viele Organisationen sind auf solche Bedrohungen nicht ausreichend vorbereitet – ein Überblick über Angriffsvektoren und erste Schutzmaßnahmen hilft, Schäden zu verhindern. Das kostenlose E-Book „Cyber Security Awareness Trends“ erklärt aktuelle Angriffsmethoden (einschließlich manipulierter Add-ons), praxisnahe Abwehrschritte und konkrete Maßnahmen für IT-Verantwortliche sowie sicherheitsbewusste Nutzer. Jetzt kostenloses Cyber-Security-E-Book herunterladen

Mindestens 17 Erweiterungen waren Teil der Kampagne, darunter beliebte Tools wie „Google Translate in Right Click“ mit über 500.000 Downloads. Einige der bösartigen Add-ons waren bis zu fünf Jahre aktiv, bevor sie entdeckt wurden.

Geduld als Waffe: Die schlafende Gefahr

Nach der Installation blieb die Malware zunächst passiv. Sie wartete mindestens 48 Stunden, bevor sie eine Verbindung zu einem externen Kommando- und Kontrollserver herstellte. Diese Verzögerung sollte automatisierte Sicherheitsscans täuschen, die oft nur das kurzfristige Verhalten prüfen.

Erst nach erfolgreicher Verbindung lud die Erweiterung ihre eigentliche schädliche Nutzlast nach. Die betroffenen Add-ons wurden inzwischen aus den Stores entfernt, doch bereits installierte Erweiterungen bleiben eine Gefahr.

Was die gekaperten Browser tun mussten

Die aktivierte Malware verwandelte den Browser in ein Werkzeug für kriminelle Aktivitäten. Zu ihren Fähigkeiten gehörten:

• Affiliate-Betrug: Umleitung von Einkaufs-Links, um Provisionen abzugreifen
• Klickbetrug: Einspritzen von Skripten für gefälschte Werbeklicks
• Schwächung der Sicherheit: Entfernen wichtiger HTTP-Sicherheitsheader
• Datenspionage: Einschleusen von Tracking-Skripten und Auslesen von Sitzungsdaten

Im Kern nutzten die Angreifer die Rechenkraft und Internetverbindung der Opfer für ihre eigenen betrügerischen Geschäfte.

Warum selbst offizielle Stores kein Schutz sind

Die Kampagne zeigt ein grundlegendes Problem: Nutzer vertauen Erweiterungen aus offiziellen Quellen oft blind. GhostPoster beweist, dass auch die Überprüfungsmechanismen der Tech-Giganten mit ausgeklügelten Methoden umgangen werden können.

Für Android-Nutzer ist die Bedrohung besonders relevant. Kompromittierte Browser können mobile Konten gefährden, vor allem wenn Synchronisierungsfunktionen genutzt werden.

So schützen Sie sich jetzt

Die identifizierten Erweiterungen sind zwar entfernt, aber die Gefahr bleibt. Gehen Sie proaktiv vor:

1. Überprüfen Sie Ihre Erweiterungen: Gehen Sie in den Einstellungen Ihres Browsers zur Erweiterungsliste. Entfernen Sie alle nicht mehr benötigten oder unbekannten Add-ons.
2. Seien Sie skeptisch: Prüfen Sie vor jeder neuen Installation Bewertungen, Herausgeber und angeforderte Berechtigungen.
3. Weniger ist mehr: Installieren Sie nur Erweiterungen, die Sie wirklich brauchen und die von seriösen Anbietern stammen.

Eine regelmäßige „Browser-Hygiene“ wird angesichts solcher Bedrohungen immer wichtiger.