Nachrichten

Gefälschte Erweiterung stürzt Browser ab, um Nutzer dazu zu verleiten, sich selbst zu infizieren

von Pieter Arntz | 20. Januar 2026
Laptop mit einer Warnmeldung

Forscher haben eine weitere Methode entdeckt, die im Sinne von ClickFix verwendet wird: CrashFix.

ClickFix-Kampagnen verwenden überzeugende Köder – in der Vergangenheit waren dies „Human Verification”-Bildschirme –, um den Benutzer dazu zu verleiten, einen Befehl aus der Zwischenablage einzufügen. Nach gefälschten Windows , Video-Tutorials für Mac und vielen anderen Varianten haben Angreifer nun eine Browser-Erweiterung eingeführt, die Ihren Browser absichtlich zum Absturz bringt.

Forscher haben eine Fälschung eines bekannten Werbeblockers entdeckt und es geschafft, diese unter dem Namen „NexShield – Advanced Protection“ in den offiziellen Chrome Store zu bringen. Streng genommen bietet das Abstürzen des Browsers zwar einen gewissen Schutz, aber das ist nicht das, was Nutzer normalerweise wollen.

Wenn Benutzer die Browser-Erweiterung installieren, meldet sie sich bei nexsnield[.]com (beachten Sie den Rechtschreibfehler), um Installationen, Updates und Deinstallationen zu verfolgen. Die Erweiterung nutzt Chromeintegrierte Alarms-API (Application Programming Interface), um 60 Minuten zu warten, bevor sie ihr bösartiges Verhalten startet. Durch diese Verzögerung ist es weniger wahrscheinlich, dass Nutzer sofort einen Zusammenhang zwischen der Installation und dem anschließenden Absturz herstellen.

Nach dieser Pause startet die Erweiterung eine Denial-of-Service-Schleife, die wiederholt chrome.runtime-Port-Verbindungen öffnet und die Ressourcen des Geräts erschöpft, bis der Browser nicht mehr reagiert und abstürzt.

Nach dem Neustart des Browsers wird den Benutzern ein Popup-Fenster angezeigt, in dem ihnen mitgeteilt wird, dass der Browser abnormal beendet wurde – was zwar zutrifft, aber nicht unerwartet ist – und in dem Anweisungen gegeben werden, wie dies in Zukunft verhindert werden kann.

Es zeigt dem Benutzer die mittlerweile klassischen Anweisungen zum Öffnen an. Win+R, drücken Ctrl+V, und drücken Sie die Eingabetaste, um das Problem zu „beheben“. Dies ist das typische Verhalten von ClickFix. Die Erweiterung hat bereits einen bösartigen PowerShell- oder cmd-Befehl in die Zwischenablage kopiert. Durch Befolgen der Anweisungen führt der Benutzer diesen bösartigen Befehl aus und infiziert damit effektiv seinen eigenen Computer.

Basierend auf Fingerabdruckprüfungen, um festzustellen, ob das Gerät in die Domäne eingebunden ist, gibt es derzeit zwei mögliche Ergebnisse.

Wenn der Computer mit einer Domäne verbunden ist, wird er als Unternehmensgerät behandelt und mit einem Python-Fernzugriffstrojaner (RAT) namens ModeloRAT infiziert. Auf Computern, die nicht mit einer Domäne verbunden sind, ist die Nutzlast derzeit unbekannt, da die Forscher nur die Antwort „TEST PAYLOAD!!!!” erhielten. Dies könnte auf eine laufende Entwicklung oder andere Fingerabdrücke hindeuten, die den Testcomputer ungeeignet machten.

Wie man sicher bleibt

Zum Zeitpunkt der Erstellung dieses Artikels war die Erweiterung nicht mehr im Chrome Store verfügbar, aber sie wird zweifellos unter einem anderen Namen wieder auftauchen. Hier sind daher einige Tipps, um sicher zu bleiben:

  • Wenn Sie nach einem Werbeblocker oder anderen nützlichen Browser-Erweiterungen suchen, achten Sie darauf, dass Sie das Original installieren. Cyberkriminelle geben sich gerne als vertrauenswürdige Software aus.
  • Führen Sie niemals Code oder Befehle aus, die Sie von Websites, E-Mails oder Nachrichten kopiert haben, es sei denn, Sie vertrauen der Quelle und verstehen den Zweck der Aktion. Überprüfen Sie Anweisungen unabhängig. Wenn Sie auf einer Website aufgefordert werden, einen Befehl auszuführen oder eine technische Aktion durchzuführen, überprüfen Sie dies anhand der offiziellen Dokumentation oder wenden Sie sich an den Support, bevor Sie fortfahren.
  • Sichern Sie Ihre Geräte. Verwenden Sie eine aktuelle Echtzeit -Anti-Malware-Lösung mit einer Webschutzkomponente.
  • Informieren Sie sich über neue Angriffstechniken. Das Verständnis, dass Angriffe aus unerwarteten Richtungen kommen und sich weiterentwickeln können, hilft Ihnen, wachsam zu bleiben. Lesen Sie weiter unseren Blog!

Profi-Tipp: Die kostenlose Malwarebytes Browser Guard ist ein sehr effektiver Werbeblocker und schützt Sie vor bösartigen Websites. Er warnt Sie auch, wenn eine Website etwas in Ihre Zwischenablage kopiert, und fügt einen kleinen Schnipsel hinzu, um alle Befehle unwirksam zu machen.

Wir berichten nicht nur über Bedrohungen - wir beseitigen sie

Cybersecurity-Risiken sollten nie über eine Schlagzeile hinausgehen. Laden Sie noch heute Malwarebytes herunter, um Bedrohungen von Ihren Geräten fernzuhalten.

Über den Autor

Pieter Arntz

Pieter Arntz

Malware-Forscher

War 12 Jahre in Folge Microsoft MVP im Bereich Verbrauchersicherheit. Spricht vier Sprachen. Riecht nach edlem Mahagoni und ledergebundenen Büchern.

NEUESTE ARTIKEL

AI
Eine Hand greift nach unten, um ein Sternchen aus einem geschriebenen Passwort zu nehmen.

KI-generierte Passwörter sind ein Sicherheitsrisiko.

Februar 19, 2026

KI-generierte Passwörter sind „sehr vorhersehbar“ und nicht wirklich zufällig, sodass sie für Cyberkriminelle leichter zu knacken sind.

Nachrichten
Tenga-Logo

Der Hersteller von Intimprodukten Tenga hat Kundendaten verloren.

Februar 19, 2026

Ein Phishing-Angriff auf einen Mitarbeiter von Tenga könnte US-Kundendaten offengelegt haben. Kunden sollten auf Phishing-Versuche mit Sextortion-Thematik achten.

Datenschutzverletzungen
Betterment-Logo

Die Datenpanne bei Betterment könnte schlimmer sein als gedacht

Februar 18, 2026

Dieser Verstoß scheint nun weitaus schwerwiegender zu sein. Die durchgesickerten Daten enthalten umfangreiche persönliche und finanzielle Details, die Phisher nutzen könnten.

Symbol für Mitwirkende

Mitwirkende

Symbol für das Bedrohungszentrum

Bedrohungszentrum

Podcasts-Symbol

Podcast

Glossar-Symbol

Glossar

Symbol für Betrug

Betrug