Browser-Malware, Edgecution

Browser-Malware Edgecution: Ransomware-Gruppen nutzen Edge-Erweiterungen

25.06.2026 - 13:07:25 | boerse-global.de

Cyberkriminelle nutzen manipulierte Add-ons fĂŒr Edge und Chrome, um dauerhafte ZugĂ€nge zu Unternehmenssystemen zu schaffen.

Browser-Erweiterungen: Neue HintertĂŒr fĂŒr Hacker in Firmennetzen
Browser-Malware - Bildschirm mit schĂ€dlichem Code und Browser-Warnung, Symbol fĂŒr Cyber-Bedrohung durch bösartige Erweiterungen. 25.06.2026 - Bild: ĂŒber boerse-global.de

Cyberkriminelle setzen zunehmend auf manipulierte Browser-Erweiterungen, um Sicherheitsvorkehrungen zu umgehen und dauerhafte HintertĂŒren in Unternehmensnetzwerke zu installieren.

Die Angriffe richten sich vor allem gegen die beiden dominierenden Browser Microsoft Edge und Google Chrome. Sicherheitsforscher warnen vor einer neuen Welle hochentwickelter Malware-Kampagnen, die als Einfallstor fĂŒr Ransomware-Gruppen und andere professionelle Angreifer dienen.

Edgecution: Wenn der Browser zum Einfallstor wird

Eine besonders perfide Schadsoftware namens Edgecution nutzt eine bösartige Microsoft-Edge-Erweiterung, um sich in Firmennetzwerken festzusetzen. Die Angriffskette beginnt laut Analysen von Zscaler ThreatLabz mit einem Social-Engineering-Trick ĂŒber Microsoft Teams. Die TĂ€ter geben sich als IT-Support-Mitarbeiter aus und locken ihre Opfer auf ein gefĂ€lschtes Microsoft-Update-Portal.

Die als legitimer „Edge Monitoring Agent" getarnte Erweiterung wird ĂŒber manipulierte ZIP-Archive sowie Skripte in AutoHotKey und PowerShell installiert. Ihr KernstĂŒck: Sie missbraucht die Chrome Native Messaging API, um mit einem lokal installierten Python-Backdoor zu kommunizieren. Auf diese Weise verlĂ€sst die Malware die isolierte Browser-Umgebung und fĂŒhrt direkt Befehle auf dem Betriebssystem aus.

Anzeige

Immer mehr Unternehmen werden Opfer von Cyberangriffen durch manipulierte Software – diese Checkliste hilft Ihnen, es zu verhindern. Erfahren Sie im kostenlosen E-Book, wie Sie sich proaktiv absichern und SicherheitslĂŒcken schließen, bevor Hacker diese ausnutzen können. Experten-Leitfaden zur Cyber-Security jetzt kostenlos sichern

Das Python-Backdoor – Forscher identifizierten Version 3.13.3 – kann Shell-Befehle ausfĂŒhren, PowerShell- und Python-Skripte starten, Dateien manipulieren und Systemprozesse auslesen. Die Spur fĂŒhrt zu einem sogenannten Initial Access Broker, der fĂŒr die Ransomware-Gruppe Payouts Kings arbeitet.

Chrome-Richtlinien als Einfallstor

Eine zweite, im Juni 2026 beobachtete Kampagne nutzt eine andere Schwachstelle: Angreifer manipulieren Googles Verwaltungsrichtlinien fĂŒr Chrome, um Erweiterungen zwangsweise zu installieren. Besonders aktiv sind die TĂ€ter derzeit in Italien, wo Opfer Phishing-Mails mit getarnten JavaScript-AnhĂ€ngen erhalten.

Der Infektionsprozess setzt auf DLL-Side-Loading: Eine legitime ausfĂŒhrbare Datei von Epic Games lĂ€dt eine schĂ€dliche Bibliothek. Anschließend manipulieren PowerShell-Befehle die Windows-Registrierung, konkret die SchlĂŒssel ExtensionInstallAllowlist und ExtensionInstallSources. So wird die Erweiterung Cloud vn105rkj64 ohne Nutzerinteraktion installiert.

Auch dieses Chrome-Add-on nutzt Native Messaging fĂŒr lokale PowerShell-Befehle. Seine Aufgaben: Session-Cookies stehlen, aktive Tabs auslesen und GerĂ€te-Fingerprinting fĂŒr weitere Angriffe betreiben.

Anzeige

Hacker nutzen oft gezielte Manipulationstaktiken, um Schadsoftware in Firmennetzwerken zu platzieren. Dieser kostenlose Ratgeber enthĂŒllt die psychologischen Tricks der Angreifer und zeigt Ihnen in 4 Schritten, wie Sie die Abwehr Ihres Unternehmens effektiv stĂ€rken. Anti-Phishing-Paket fĂŒr Unternehmen gratis herunterladen

Die stille Explosion der Web-Attacken

Die neuen Erweiterungs-Backdoors sind Teil eines grĂ¶ĂŸeren Trends. Daten von Menlo Security zeigen einen Anstieg um 224 Prozent bei sogenannten Highly Evasive Adaptive Threats (HEAT) seit Juli 2021. Rund 69 Prozent aller schĂ€dlichen Domains setzen inzwischen auf diese Taktiken – darunter HTML-Schmuggel und die Umgehung von HTTP-Verkehrsinspektionen.

Die Zahl der Good2Bad-Websites – legitime Domains, die fĂŒr schĂ€dliche Inhalte gekapert wurden – stieg im Jahresvergleich um 137 Prozent. Besonders hĂ€ufig imitiert werden Microsoft, PayPal und Amazon.

Mistic: Neues Backdoor erweitert das Arsenal der Zugangsvermittler

Neben den Erweiterungs-Angriffen haben Forscher ein weiteres Backdoor namens Mistic entdeckt. Es wird dem Initial Access Broker KongTuke zugeschrieben, der seit 2024 aktiv ist und zuletzt Versicherungen, Bildungseinrichtungen und Dienstleistungsunternehmen ins Visier nahm.

Mistic wird ebenfalls per DLL-Side-Loading eingeschleust und lĂ€uft komplett im Arbeitsspeicher – klassische Antiviren-Lösungen haben kaum eine Chance. Das Backdoor besitzt einen eingebauten Kill-Switch und kann Beacon Object Files laden, um seine Funktionen zu erweitern. KongTuke, der im Mai 2026 unter anderem die ClickFix-Kette nutzte, gilt als Zulieferer fĂŒr mehrere große Ransomware-Operationen, darunter Qilin, Akira und Black Basta.

de | wissenschaft | 69622962 |