Registrieren Anmelden
RegistrierenAnmelden
Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Breadcrumb-Navigation
Free

Gefährliche Firefox-Erweiterungen stehlen Kryptowährungen

Mehr als 40 manipulierte Browser-Erweiterungen für Mozilla Firefox haben es gezielt auf Kryptowährungs-Wallets abgesehen. Die Angreifer kopieren bekannte Wallet-Tools wie MetaMask oder Trust Wallet und schleusen damit Schadcode direkt in den Browser der Nutzer ein – mit dramatischen Folgen für deren digitale Vermögenswerte.

THN/Stefan Mutschler (freier Journalist)Bedrohungen
Lesezeit 2 Min.

Cybersecurity-Analysten von Koi Security haben eine weitreichende Kampagne aufgedeckt, die seit mindestens April 2025 läuft: Über 40 Firefox-Erweiterungen imitieren legitime Wallet-Tools bekannter Anbieter wie Coinbase, MetaMask, Trust Wallet, Phantom, Exodus, OKX, Keplr, MyMonero, Bitget, Leap, Ethereum Wallet und Filfox. Der Trick: Die gefälschten Add-ons nutzen Namen, Logos und teilweise sogar den öffentlich zugänglichen Quellcode der Originale – ergänzt um eigene Spionagefunktionen.

Ziel ist es, sensible Informationen wie Seed-Phrasen, Wallet-Schlüssel und IP-Adressen direkt im Browser des Opfers abzugreifen und an einen externen Server zu übertragen. Besonders perfide: Diese Erweiterungen funktionieren scheinbar normal und bieten die gewohnte Nutzererfahrung, wodurch sie schwer zu erkennen sind und oft lange unentdeckt bleiben.

Täuschend echt – mit gefälschten Bewertungen

Um die eigenen Add-ons glaubwürdiger wirken zu lassen, greifen die Akteure auf Social-Engineering-Methoden zurück: Sie manipulieren das Bewertungssystem der Firefox-Add-on-Plattform mit massenhaft generierten 5-Sterne-Rezensionen, die den Eindruck weitverbreiteter Legitimität erwecken. Tatsächlich übersteigen die Bewertungen oft die Anzahl der aktiven Installationen – ein deutliches Warnsignal, das aber vielen Nutzern entgeht.

Ein weiteres Täuschungsmanöver: Der Missbrauch von Open-Source-Code. Indem Angreifer bestehende Wallet-Erweiterungen klonen und mit schädlichem Code versehen, können sie vertrauenswürdig wirkende Tools mit eingebauter Spionagefunktion schnell bereitstellen – oft mit geringem Aufwand, aber großem Schadenspotenzial.

Gefährlich unauffällig – im Browser selbst

Im Gegensatz zu klassischen Phishing-Angriffen, die auf gefälschte Webseiten oder betrügerische E-Mails setzen, arbeiten diese Erweiterungen innerhalb des Browsers. Sie schleusen den Schadcode direkt in die Benutzeroberfläche ein und agieren unauffällig – ohne Pop-ups, Umleitungen oder sichtbare Anzeichen eines Angriffs. Dadurch bleiben sie von klassischen Endpoint-Schutzsystemen oft unbemerkt.

„Dieses Modell erlaubt es den Tätern bei minimalem Aufwand und höchstem Wirkpotenzial ein normales Nutzungserlebnis vorzutäuschen und dabei die Erkennung deutlich zu erschweren“, erklärt Sicherheitsexperte Yuval Ronen.

Spuren im Quellcode sowie Metadaten aus einer PDF-Datei, die auf einem Command-and-Control-Server der Angreifer gefunden wurden, deuten auf eine russischsprachige Tätergruppe hin. Auch Kommentare im Code sind teilweise in russischer Sprache verfasst – ein weiteres Indiz für die Herkunft der Angreifer.

Mozilla reagiert – aber nicht schnell genug

Mozilla hat inzwischen nahezu alle identifizierten Erweiterungen aus dem offiziellen Add-on-Store entfernt – mit Ausnahme des MyMonero Wallets, das zum Zeitpunkt des Berichts noch verfügbar war. Der Browser-Hersteller kündigte an, ein „Früherkennungssystem“ für betrügerische Wallet-Erweiterungen einzuführen, um künftig schneller auf solche Bedrohungen reagieren zu können.

Was Nutzer jetzt tun sollten

Um sich vor bösartigen Erweiterungen zu schützen, gelten folgende Empfehlungen:

  • Installationen nur von verifizierten Publishern: Add-ons sollten ausschließlich von offiziellen oder nachweislich vertrauenswürdigen Quellen stammen.
  • Erweiterungen regelmäßig prüfen: Verdächtige Berechtigungen, ungewöhnliches Verhalten oder eine Flut an positiven Bewertungen bei wenigen Nutzern sollten ein Warnsignal sein.
  • Nach der Installation wachsam bleiben: Manche Erweiterungen verändern ihr Verhalten erst nachträglich. Auffällige Updates sollten kritisch hinterfragt werden.
  • Verzicht auf unnötige Erweiterungen: Weniger ist mehr – wer nur notwendige Add-ons nutzt, minimiert die Angriffsfläche.

Die Bedrohung sitzt direkt im Browser

Die Kampagne zeigt, wie leicht Browsererweiterungen zur Waffe werden können – besonders, wenn sie gezielt auf Kryptowährungen abzielen. Selbst scheinbar seriöse Tools können durch Open-Source-Missbrauch zur Gefahr werden. Gefälschte Bewertungen tun ein Übriges. IT-Sicherheitsverantwortliche und Nutzer sollten ihre Erweiterungen regelmäßig prüfen und keine Add-ons installieren, deren Herkunft oder Verhalten nicht eindeutig nachvollziehbar sind. Denn wer seine Wallets im Browser verwaltet, hat keine Sicherheitsreserven – nur Verantwortung.

Lesen Sie weiter

Diese Beiträge könnten Sie ebenfalls interessieren.