Cybersicherheitsforscher haben eine gefälschte Perplexity-Erweiterung für Chrome entdeckt, die sich als der beliebte KI-Suchassistent ausgab. Im Hintergrund fing sie Suchanfragen der Nutzer ab und sammelte Browserdaten. Die schädliche Erweiterung erschien im Chrome Web Store und leitete Suchanfragen zunächst über eine von Angreifern kontrollierte Infrastruktur weiter, bevor die Nutzer zu legitimen Suchmaschinen gelangten.
Microsoft fand keine Hinweise darauf, dass die Erweiterung Passwörter oder Anmeldedaten gestohlen hat. Die Forscher warnen jedoch, dass die umfangreichen Browserberechtigungen künftig auch deutlich schwerwiegendere Angriffe ermöglichen könnten.
Gefälschte Perplexity-Erweiterung leitete Suchanfragen um
Microsoft Threat Intelligence entdeckte die schädliche Erweiterung, die im Chrome Web Store unter dem Namen „Search for perplexity ai“ veröffentlicht wurde.
Die Erweiterung ahmte die offizielle Perplexity-AI-Erweiterung nach. Sie verwendete ein ähnliches Erscheinungsbild und leitete Nutzer auf die Domain perplexity-ai[.]online statt auf die offizielle Website perplexity.ai.
Nach der Installation änderte die gefälschte Perplexity-Erweiterung automatisch die Standardsuchmaschine von Chrome. Statt Suchanfragen direkt an die gewählte Suchmaschine des Nutzers weiterzuleiten, führte sie jede Eingabe in der Adressleiste zunächst über Server der Angreifer und leitete sie anschließend an legitime Suchanbieter weiter.
Laut Microsoft missbrauchten die Angreifer dafür die Chrome-Funktion chrome_settings_overrides, um die Standardsuchmaschine zu ersetzen und Suchanfragen aus der Omnibox abzufangen.
Microsoft entdeckte umfangreiche Datensammlung
Die Untersuchung von Microsoft zeigte, dass die Erweiterung deutlich mehr Informationen sammelte, als Nutzer von einem KI-Assistenten erwarten würden.
Die Forscher fanden Protokollierungsfunktionen auf der Infrastruktur der Angreifer. Diese bestätigten, dass die Datensammlung fester Bestandteil der Erweiterung war und nicht versehentlich erfolgte.
Darüber hinaus forderte die Erweiterung mehrere weitreichende Chrome-Berechtigungen an. Dadurch konnte sie Datenverkehr umleiten, URLs umschreiben und überwachen, wann Browserregeln ausgeführt wurden.
Microsoft betont, dass diese Berechtigungen kaum etwas mit den üblichen Funktionen eines KI-gestützten Suchassistenten zu tun haben. Stattdessen ermöglichen sie eine weitreichende Kontrolle über den gesamten Webverkehr eines Nutzers.
Forscher warnen vor künftigem Missbrauch
Microsoft fand keine Hinweise darauf, dass die gefälschte Perplexity-Erweiterung Benutzernamen, Passwörter oder Authentifizierungs-Cookies gestohlen hat.
Dennoch warnt das Unternehmen, dass die gewährten Berechtigungen den Angreifern eine erhebliche Ausweitung ihrer Aktivitäten ermöglicht hätten.
Durch die Überwachung des Surf- und Suchverhaltens könnten Bedrohungsakteure detaillierte Nutzerprofile erstellen. Diese Informationen ließen sich anschließend für gezielte Werbung, Phishing-Kampagnen, Identitätsdiebstahl oder zukünftige Cyberangriffe nutzen.
Nach Einschätzung der Forscher bot die Möglichkeit, den Datenverkehr abzufangen, den Angreifern außerdem die Grundlage für eine deutlich umfangreichere Datensammlung, falls sie die Funktionen der Erweiterung später erweitert hätten.
Nutzer sollten die Erweiterung sofort entfernen
Microsoft empfiehlt allen Nutzern, die die schädliche Erweiterung mit der ID flkebkiofojicogddingbdmcmkpbplcd installiert haben, sie umgehend aus Chrome zu entfernen.
Zusätzlich sollten betroffene Nutzer vorsorglich die Passwörter wichtiger Online-Konten ändern – insbesondere dann, wenn sie den Browser während der Installation der Erweiterung genutzt haben.
Der Vorfall zeigt erneut, wie Cyberkriminelle die wachsende Beliebtheit von KI-Werkzeugen ausnutzen. Mit täuschend echten Browser-Erweiterungen versuchen sie, Nutzer zur Installation von Schadsoftware zu verleiten. Deshalb sollten Anwender vor jeder Installation den Entwickler, die offizielle Website, die angeforderten Berechtigungen und den Eintrag im Chrome Web Store sorgfältig überprüfen.


0 Kommentare zu „Gefälschte Perplexity-Erweiterung für Chrome verfolgte die Suchaktivitäten der Nutzer“