Erweiterungen laufen mit weitreichenden Rechten im Browser und haben häufig Zugriff auf alle geöffneten Seiten – inklusive Loginfelder, Formulare oder Finanzdaten. Ohne Kontrolle können sie zur zentralen Datenabflussquelle im Unternehmen werden.
Zwei unscheinbare Chrome-Browser-Erweiterungen, die sich als harmlose VPN-Dienste tarnen, haben über Jahre hinweg tausenden Unternehmen den direkten Zugang zu ihren sensibelsten Daten gekostet. Unter dem Namen „Phantom Shuttle“ installiert, ermöglichten sie Angreifern eine fast vollständige Überwachung der Onlineaktivitäten ihrer Nutzer – darunter Passwörter, API-Schlüssel, Kreditkartendaten und sogar Zugangsdaten zu Unternehmensnetzwerken.
Dieser Fall, jüngst von der Cybersecurityplattform The Hacker News enthüllt, ist ein Paradebeispiel für ein Phänomen, das in vielen Unternehmen unterschätzt wird: browserbasierte Angriffsflächen. Noch gravierender ist dabei die Kombination aus social engineering, scheinbarer Funktionalität und gut getarnter Infrastruktur, die nicht nur Endnutzer, sondern auch Profis im technischen Bereich täuscht – vom Entwickler über Admins bis hin zu IT-Security-Teams.
Für Entscheider auf C-Level zeigt dieser Vorfall in aller Deutlichkeit: Die digitale Angriffsfläche endet nicht beim Perimeter, sondern beginnt dort. Browser Extensions sind kein Feature mehr – sie sind ein Risiko.
„Phantom Shuttle“ war nicht einfach nur schädlich – es war hochprofessionell implementiert und gezielt auf wertvolle Ziele ausgerichtet. Laut Analysen der Sicherheitsfirma Socket handelt es sich um eine seit über acht Jahren aktive Operation mit chinesischer Infrastruktur und Zahlungsabwicklung über WeChat und Alipay.
Das eigentliche Ziel: keine breite Masse von Privatpersonen, sondern gezielt technisches Personal in Unternehmen – Entwickler, Netzwerkadministratoren und digitale Handelsabteilungen.
Die Extensions führten zunächst einen legitimen Geschwindigkeitstest durch, um Vertrauen zu schaffen. Nach Bezahlung des vermeintlichen VPN-Abos wurde automatisch ein sogenannter „Proxy-Modus“ aktiviert, der mehr als 170 hochrelevante Domains über die Server der Angreifer leitete.
Diese Domains beinhalteten u.a.:
Die Zielrichtung ist klar: Know-how, Zugangsdaten und API-Schlüssel von Entwicklern, Admins und Entscheidern sollten erfasst und – im Worst Case – für Industriespionage, Identitätsdiebstahl, Zugriffe auf Cloud-Infrastrukturen oder Supply-Chain-Angriffe genutzt werden.
Was viele Unternehmen übersehen: Der Browser ist längst kein harmloses Werkzeug mehr, sondern eine potenziell kompromittierbare Plattform – insbesondere durch Browser Extensions mit weitreichenden Rechten.
Mit technischen Details wollen wir Sie nicht aufhalten. Entscheidend ist das Wirkungsszenario: Diese Erweiterungen ermöglichen einen sogenannten man-in-the-middle-Angriff (MitM), bei dem Angreifer erkennen, was Ihre Beschäftigten im Netz tun, auf welche Anwendungen sie zugreifen und was sie eingeben.
Jede Anmeldung, jede Credential-Eingabe, jeder API-Key, den ein Entwickler verwendet, wird für die Angreifer sichtbar. Sobald die Erweiterung aktiv ist, wird alle 60 Sekunden ein sogenannter „Heartbeat“ an die Command-and-Control-Infrastruktur der Angreifer geschickt – inklusive E-Mail-Adresse, Passwort und Nutzungsinformationen.
Dieser kontinuierliche Datenstrom lädt nicht nur Ihre internen Zugänge in fremde Hände hoch. Er öffnet darüber hinaus die Tür für gezielte und dauerhafte Angriffe auf Ihr Unternehmen – insbesondere wenn die gestohlenen Daten für Social Engineering, Erpressung, Supply-Chain-Komprimittierungen oder gezielte Industriespionage genutzt werden.
Der Preis der Unaufmerksamkeit: Datenschutzverstöße, wirtschaftlicher Schaden und Reputationsrisiko
Viele Unternehmen investieren in die Sicherheit ihrer E-Mail-Systeme, Netzwerke und Firewalls – und lassen dabei das aus den Händen gleiten, was tausende Mitarbeitende täglich nutzen: den Browser. Dass Extensions in der Lage sind, massiv systemrelevante Daten abzugreifen, ist in vielen Sicherheitsstrategien nicht berücksichtigt.
Dabei ist die Eintrittshürde für Angreifer niedriger denn je: Der Nutzer selbst aktiviert die Erweiterung. Eine Authentifizierung beim Anbieter erfolgt nicht. Die Browser-Hersteller – wie im Falle von Google Chrome – haben bisher kaum effektive Mechanismen etabliert, mit denen Unternehmen gezielt gefährliche Extensions blockieren oder einschränken können.
Das erzeugt ein diffuses und kaum kontrollierbares Bedrohungsumfeld – insbesondere für Unternehmen mit verteilten Teams, hybriden Arbeitsplätzen und hohem digitalen Vernetzungsgrad.
In vielen Unternehmen haben sich IT-Risiken in den Fachbereichen „abgesondert“. Während Digitalstrategien und Go-to-Market-Modelle auf Vorstandsebene entschieden werden, bleibt das Thema „Technik-Risiko“ im Schatten. Genau das ist gefährlich.
Browserbasierte Bedrohungen wie Phantom Shuttle zeigen: Hier geht es nicht um Technik – es geht um den Schutz geschäftskritischer Identitäten und Innovationspotenziale. Wer Zugriff auf Ihre AWS-Konsole, Ihre GitHub-Repositories oder Ihre Office-Login-Daten erhält, hat vollen Zugang zu Ihren Assets. Die Auswirkungen betreffen:
CIO, CSO, CISO und CEO müssen sich also gemeinsam die Frage stellen: Wie lange können wir es uns leisten, diesen Angriffsvektor zu ignorieren?
ProSec verfügt über tiefe Erfahrung in der Analyse, Bewertung und technischen Absicherung von browserbasierten Bedrohungsmodellen – vom gezielten Angriff auf Entwicklerplattformen bis hin zur Missbrauchsmöglichkeit durch Browser Extensions.
Unsere Services umfassen:
Darüber hinaus begleiten wir Unternehmen bei der Erstellung von Richtlinien, die Sensibilisierung und Governance miteinander verknüpfen – mit Fokus auf Risikoreduktion, Compliance und unternehmerischer Resilienz.
Ein Angreifer positioniert sich zwischen zwei Kommunikationspartnern (beispielsweise Browser und Webserver), fängt die Daten ab und kann sie manipulieren – z. B. Passwörter, Cookies oder Inhalte verändern.
Beim Proxy-Angriff wird der Datenverkehr absichtlich über einen Server geleitet, der vom Angreifer kontrolliert wird. Von dort können Daten eingesehen, gespeichert oder manipuliert werden.
Hierbei antwortet ein manipuliertes System automatisch auf Passwortabfragen mit vorgegebenen Zugangsdaten – ohne das Wissen des Nutzers.
PAC steht für Proxy Auto-Configuration. Es handelt sich um ein Skript, das dem Browser vorgibt, welche Webseiten über welchen Proxy geleitet werden sollen – eine Taktik, mit der Angreifer gezielt nur kritische Webseiten abfischen.
Erweiterungen laufen mit weitreichenden Rechten im Browser und haben häufig Zugriff auf alle geöffneten Seiten – inklusive Loginfelder, Formulare oder Finanzdaten. Ohne Kontrolle können sie zur zentralen Datenabflussquelle im Unternehmen werden.
