Notebookcheck Logo

Gratis VPN installiert Malware - Weitere Browsererweiterungen mit Schad-Code

Gratis VPN installiert Malware (Symbolbild erstellt mit Nano Banana)
Gratis VPN installiert Malware (Symbolbild erstellt mit Nano Banana)
Die Sicherheitsfirma KOI hat eine ausgeklügelte Malware-Kampagne entdeckt, die sich hinter harmlos aussehenden Erweiterungen verbirgt. Im Fokus stehen ein weiteres Mal kostenlose VPN-Angebote sowie andere Browsererweiterungen.
Security Hack / Data Breach

Über eine Reihe von Browsererweiterungen für Chrome und Edge die massenhaft Daten abgreifen, hatten wir bereits berichtet. Im Fokus standen kostenlose VPN-Anbieter. Die Sicherheitsfirma KOI hat nun eine weitere Gruppe von Browsererweiterungen entdeckt, die in diesem Falle Malware installieren, welche noch gefährlicher für den Nutzer sein könnte. Die Angreifer nutzen eine Technik, die selbst erfahrene Sicherheitsscanner überlisten kann: Steganografie.

Das Prinzip ist einfach, aber effektiv: Schadcode wird nicht in den üblichen JavaScript-Dateien der Erweiterung versteckt, sondern direkt im Logo der Erweiterung – einer kleinen Bilddatei. Die Erweiterung "Free VPN Forever", die bereits über 16.000 Mal installiert wurde, ist ein Paradebeispiel: Sie liest ihr eigenes Logo aus, sucht nach einem versteckten Marker (drei Gleichheitszeichen) und extrahiert dann den darin eingebetteten JavaScript-Code.

Diese Technik ermöglicht es den Angreifern, die Malware vor herkömmlichen Scans zu verbergen. Die Erweiterung funktioniert äußerlich normal, während im Hintergrund ein mehrstufiger Angriff abläuft. Zunächst wird ein kleiner "Loader" ausgeführt, der den eigentlichen Schadcode von einer externen Server (liveupdt[.]com oder dealctr[.]com) herunterlädt. Um die Erkennung des Schadcodes durch die Überwachung des Netzwerkverkehrs zu erschweren, wird der Download aber nicht kontinuierlich ausgeführt, sondern nur in kleinen Schritten. Bis die Erweiterung ihre Malware installiert hat, können so Tage oder Wochen vergehen. 

Der heruntergeladene Payload ist zudem verschlüsselt und wird erst im Browser entschlüsselt, bevor er ausgeführt wird. Anschließend entfaltet sich das volle Ausmaß der Malware: Affiliate-Links werden manipuliert, um Provisionen abzuhalten, Google Analytics-Tracking-Codes werden in jede besuchte Seite injiziert, Sicherheitsheader werden entfernt und CAPTCHAs werden umgangen.

Besonders perfide ist die Injektion unsichtbarer iFrames, die für Werbe- und Click Fraud missbraucht werden könnten. Die gesamte Infrastruktur wird von mindestens 17 verschiedenen Firefox-Erweiterungen genutzt, die zusammen über 50.000 Mal installiert wurden. KOI hat bereits zuvor auf ähnliche Fälle hingewiesen, darunter den kürzlich aufgedeckten Missbrauch des VPN-Anbieters Urban VPN Proxy, der Nutzerdaten an Datenhändler verkaufte.

KOI hat folgende Liste mit den betroffenen Erweiterungen erstellt:

  • free-vpn-forever
  • screenshot-saved-easy
  • weather-best-forecast
  • crxmouse-gesture
  • cache-fast-site-loader
  • freemp3downloader
  • google-translate-right-clicks
  • google-traductor-esp
  • world-wide-vpn
  • dark-reader-for-ff
  • translator-gbbd
  • i-like-weather
  • google-translate-pro-extension
  • 谷歌-翻译
  • libretv-watch-free-videos
  • ad-stop
  • right-click-google-translate
static version load dynamic
Loading Comments
Diesen Artikel kommentieren / Antworten
Teilen Sie diesen Artikel, um uns zu unterstützen. Jeder Link hilft!
Mail Logo
> Notebook Test, Laptop Test und News > News > Newsarchiv > News 2025-12 > Gratis VPN installiert Malware - Weitere Browsererweiterungen mit Schad-Code
Autor: Marc Herter, 18.12.2025 (Update: 18.12.2025)