Sicherheitsforscher haben eine breit angelegte Malware-Kampagne entdeckt, die sich gezielt über Firefox-Erweiterungen verbreitet. Im Zentrum steht eine Technik, bei der Schadcode nicht in JavaScript-Dateien, sondern in scheinbar harmlosen PNG-Logos versteckt wird. Besonders auffällig ist die Erweiterung "Free VPN Forever", die seit September 2025 im offiziellen Firefox-Add-on-Marktplatz verfügbar ist und nach Angaben der Forscher mehr als 16.000 Installationen erreicht hat.

Versteckt in PNG-Datei

Der Angriff beginnt unscheinbar: Beim Laden greift die Erweiterung auf ihre eigene Logo-Datei zu – ein üblicher Vorgang. Statt das Bild nur anzuzeigen, durchsucht der Code jedoch gezielt die Rohdaten der PNG-Datei nach einer speziellen Markierung. Alles, was hinter dieser Markierung folgt, entpuppt sich als versteckter JavaScript-Code. Diese Form der Steganografie sorgt dafür, dass klassische Sicherheitsprüfungen den Schadcode nicht erkennen, da er außerhalb der üblichen Skriptdateien liegt.

Der aus dem Logo extrahierte Code dient zunächst nur als Ladeprogramm. Erst mit zeitlicher Verzögerung kontaktiert es externe Server, um die eigentliche Schadsoftware nachzuladen – und selbst das nur unregelmäßig. Diese zufallsbasierte Aktivierung soll verhindern, dass auffälliger Netzwerkverkehr sofort entdeckt wird. Der nachgeladene Code ist zusätzlich verschleiert und wird erst zur Laufzeit entschlüsselt, bevor er dauerhaft im Browser gespeichert wird.

Kontrolle über Browser

Ist die finale Schadsoftware aktiv, erhält sie weitreichende Kontrolle über den Browser. Sie überwacht das Surfverhalten, manipuliert Affiliate-Links auf großen E-Commerce-Plattformen, schleust versteckte Tracking-Elemente in Webseiten ein und entfernt gezielt Sicherheitsmechanismen wie Content-Security-Policy-Header. Zudem kommen Techniken zum Einsatz, um CAPTCHA-Abfragen zu umgehen und unsichtbare Iframes für Werbe- und Klickbetrug zu laden.

Nach Einschätzung der Forscher handelt es sich nicht um einen Einzelfall. Insgesamt wurden 17 Firefox-Erweiterungen identifiziert, die dieselbe Infrastruktur nutzen und zusammen auf über 50.000 Installationen kommen. Viele davon werben mit kostenlosen VPN-, Übersetzungs- oder Wetterfunktionen. Der Fall unterstreicht erneut, dass insbesondere kostenlose Sicherheits- und Privacy-Tools ein erhöhtes Risiko bergen können – selbst dann, wenn sie über offizielle Marktplätze verteilt werden und auf den ersten Blick unauffällig erscheinen.