Malicious Browser Extension

Malicious Browser Extension ist eine im Browser installierte Erweiterung, die unter dem Deckmantel legitimer Funktionalität – etwa als Trading-Tool, Kurs-Widget oder Portfolio-Tracker – schädlichen Code ausführt, um Krypto-Wallets zu kompromittieren, Zugangsdaten zu stehlen oder Transaktionen zu manipulieren.

Angriffsvektoren im Krypto-Kontext

Der gefährlichste Mechanismus ist Clipboard-Hijacking: Die Extension überwacht die Zwischenablage und ersetzt kopierte Wallet-Adressen lautlos durch Adressen des Angreifers. Der Nutzer sendet Mittel damit unwissentlich an einen fremden Account – der Vorgang ist in der signierten Transaktion kaum erkennbar. Daneben können Extensions Seed-Phrases abfangen, wenn diese in browserbasierte Wallets eingetippt werden, sowie API-Schlüssel von Krypto-Börsen-Konten extrahieren und direkt an Angreifer-Server übermitteln. Ein dokumentiertes Beispiel: Eine als Trading-Tool getarnte Chrome-Extension erstellte auf betroffenen Konten programmatisch neue API-Schlüssel mit Auszahlungsberechtigung und übertrug diese über eine HTTPS-Anfrage an einen kontrollierten Telegram-Bot – während die Benutzeroberfläche dem Opfer weiterhin deaktivierte Auszahlungsrechte anzeigte.

Auch die Breite der Krypto-Abdeckung solcher Schadsoftware ist bemerkenswert: Eine 2022 analysierte Extension hatte hardcodierte Empfängeradressen für mehr als 15 Kryptowährungen sowie rund 170 ERC-20-Token hinterlegt.

Supply-Chain-Risiko und Erkennungsmerkmale

Selbst ursprünglich legitime Extensions können zur Bedrohung werden: Wird der Update-Mechanismus des Entwicklers kompromittiert, liefern automatische Updates schadhaften Code an alle bestehenden Nutzer – ohne dass diese etwas installieren oder bestätigen müssen. Dieses Supply-Chain-Risiko trifft auch dApp-Bibliotheken, die Wallet-Verbindungen vermitteln.

Als Red Flags gelten übermäßige Berechtigungsanforderungen: Eine Wetter-App, die Lesezugriff auf alle besuchten Websites anfordert, hat keinen sachlichen Grund dafür. Analysen aus Produktivumgebungen zeigen, dass deutlich mehr als die Hälfte aller installierten Extensions solche überschießenden Berechtigungen verlangen – ein strukturelles Risiko, das häufig unbeachtet bleibt. Weitere Warnsignale sind unbekannte Publisher, fehlende oder manipuliert wirkende Store-Bewertungen sowie Zugriffsanforderungen auf krypto-relevante Domains direkt nach der Installation.

Schutzmaßnahmen: Browser-Extensions für Krypto-Aktivitäten auf ein Minimum reduzieren, Berechtigungen bei jeder Installation kritisch prüfen und für die Verwaltung größerer Bestände auf eine Hardware Wallet oder eine Air-Gapped Wallet ausweichen, die keine Browserintegration benötigen. Seed-Phrases gehören niemals in einen Browser-Tab oder ein Extension-Interface.

Verwandte Begriffe

• Hardware Wallet
• Fake Wallet
• Hot Wallet