Security researchers at Microsoft hat eine Kampagne identifiziert, die bösartige Browsererweiterungen umfasst, die als künstliche Intelligenz-Assistenten getarnt sind und Google Chrome Microsoft Edge heimlich Chat-Chats und Surfaktivitäten der Nutzer sammeln. Laut den Ergebnissen wurden die Erweiterungen von fast 900.000 Nutzern installiert.
Die Erweiterungen wurden über den Chrome Web Store verteilt und präsentierten sich als legitime Produktivitätstools, die das Surfen mit KI-Funktionen verbessern sollten. In der Praxis funktionierte die Software als Spionagesoftware, die sensible Informationen von Nutzern sammelte, die mit Online-KI-Diensten interagierten. Die Forscher sagten, die Tools sammelten Gespräche von Plattformen wie ChatGPT und DeepSeek sowie Browsing-Daten des infizierten Browsers.
Die Kampagne stützte sich auf überzeugendes Branding und Beschreibungen, die legitime KI-Erweiterungen nachahmten. Da die Add-ons den weit verbreiteten Produktivitätstools ähnelten, installierten Nutzer sie über normale Browser-Erweiterungsmarktplätze, ohne zu merken, dass sie böswillig waren. Forscher beobachteten auch Fälle, in denen automatisierte Browser-Agenten die Erweiterungen automatisch herunterluden, weil die Einträge vertrauenswürdig erschienen.
Nach der Installation verhielten sich die Erweiterungen wie Standard-Browser-Add-ons. Sie beantragten Erlaubnisse, die es ihnen erlaubten, Inhalte auf Websites zu lesen und die Nutzeraktivität zu überwachen. Sicherheitsexperten sagen, dass solche Berechtigungen bei Browsererweiterungen üblich sind, was es erschwert, bösartige Versionen während der Installation zu erkennen.
Die Spyware sammelte Daten lokal auf dem infizierten Gerät, bevor sie sie an von den Angreifern kontrollierte Infrastruktur übertrug. Laut der Analyse wurden die Informationen periodisch an entfernte Server übertragen, sodass die Betreiber kontinuierlich Transparenz über Browsing-Aktivitäten und Interaktionen mit KI-Diensten behalten konnten.
Die Forscher sagten, die Erweiterungen seien in mehr als 20.000 Unternehmensumgebungen aktiv, was darauf hindeutet, dass die Kampagne sowohl Unternehmensinformationen als auch persönliche Daten offengelegt haben könnte. Gespräche mit KI-Systemen enthalten oft sensibles Material wie proprietären Code, interne Geschäftsgespräche oder persönliche Informationen. Der Zugang zu solchen Daten könnte es Angreifern ermöglichen, Unternehmensspionage, Identitätsdiebstahl oder gezielte Phishing-Kampagnen durchzuführen.
Browser-Erweiterungen stellen ein wachsendes Sicherheitsproblem dar, da sie weitgehend vertrauenswürdig und einfach zu installieren sind. Sobald sie einem Browser hinzugefügt wurden, erhalten sie breiten Zugriff auf Seiteninhalte und Benutzeraktivitäten. Sicherheitsforscher weisen darauf hin, dass dieses Zugriffsniveau eine potenzielle Angriffsfläche schafft, falls Erweiterungen kompromittiert oder absichtlich darauf ausgelegt sind, Daten zu sammeln.
Die Entdeckung verdeutlicht die Risiken der Installation von Browser-Add-ons, die angeblich KI-Tools verbessern oder Chatbots in das Surfen integrieren sollen. Sicherheitsexperten empfehlen, dass Organisationen die Nutzung von Erweiterungen in Unternehmensumgebungen überwachen und Installationen auf vertrauenswürdige Entwickler beschränken. Sie raten den Nutzern außerdem, installierte Erweiterungen regelmäßig zu überprüfen und unbekannte oder unnötige Tools zu entfernen.
Die Kampagne zeigt, wie böswillige Akteure legitime Vertriebskanäle und bekannte Marken nutzen können, um Spyware zu verbreiten. Indem Angreifer Datenerfassungsfunktionen in scheinbar nützliche KI-Tools einbetten, können sie Informationen von einer großen Anzahl von Nutzern sammeln, ohne traditionelle Softwareschwachstellen auszunutzen.