AiFrame: Wenn KI-Assistenten zur Waffe werden – 300.000 Chrome-Nutzer von gefälschten Browser-Extensions kompromittiert

Angreifer tarnen Malware als ChatGPT, Claude und Gemini – und stehlen E-Mails, API-Keys und Sprachaufnahmen direkt aus dem Browser

Der perfekte Tarnangriff: KI-Hype als Einfallstor

Wer heute einen KI-Assistenten im Browser installiert, vertraut darauf, dass das Tool das hält, was es verspricht. Genau dieses Vertrauen haben Angreifer in einer koordinierten Kampagne systematisch ausgenutzt. Dreißig Chrome-Extensions, die sich als ChatGPT, Claude, Gemini oder Grok ausgeben, haben laut einer Analyse des Browser-Security-Unternehmens LayerX Security mehr als 300.000 Nutzer kompromittiert – darunter Unternehmensanwender mit Zugang zu sensiblen Geschäftsdaten, E-Mail-Accounts und API-Schlüsseln. Einige der Extensions tragen sogar das «Featured»-Badge des Chrome Web Store, was ihnen zusätzliche Glaubwürdigkeit verleiht.

Die Kampagne, die LayerX unter dem Namen «AiFrame» führt, ist kein opportunistischer Einzelangriff. Sie ist eine koordinierte Operation mit einheitlicher Infrastruktur, die sich den globalen KI-Hype als Distributions-Kanal zunutze macht.

Was ist AiFrame? – Die Kampagne in der Übersicht

«AiFrame» bezeichnet eine koordinierte Angriffskampagne, bei der dreißig verschiedene Chrome-Extensions unter unterschiedlichen Namen und Extension-IDs veröffentlicht wurden – alle mit identischer interner Codestruktur, identischen JavaScript-Komponenten, gleichen Berechtigungsanfragen und derselben Backend-Infrastruktur. Alle Extensions kommunizieren ausschließlich mit Servern unter der Domain tapnetic[.]pro.

Die Taktik dahinter ist nicht neu, aber in dieser Konsequenz selten zu beobachten: Extension Spraying. Wird eine der Extensions vom Chrome Web Store entfernt, bleiben die anderen verfügbar – oder es werden unter neuen IDs identische Nachfolger hochgeladen. So erschien nach der Entfernung von «Gemini AI Sidebar» (80.000 Nutzer) umgehend «AI Sidebar» mit einer neuen ID und schnell wachsender Nutzerbasis.

Zahlen & Fakten: Ausmaß der Operation

Die nachgewiesenen Fakten der AiFrame-Kampagne:

• 30 Chrome-Extensions mit identischer Malware-Infrastruktur
• 300.000+ kompromittierte Nutzer (260.000 laut LayerX-Bericht, >300.000 laut BleepingComputer-Analyse)
• 15 Extensions gezielt auf Gmail-Daten ausgerichtet
• Einzelne Extensions noch aktiv im Chrome Web Store zum Zeitpunkt der Veröffentlichung:
  • AI Sidebar (gghdfkafnhfpaooiolhncejnlgglhkhe) – 70.000 Nutzer
  • AI Assistant (nlhpidbjmmffhoogcennoiopekbiglbp) – 60.000 Nutzer
  • ChatGPT Translate – 30.000 Nutzer
  • AI GPT – 20.000 Nutzer
• Gestohlene Daten: API-Keys, E-Mail-Inhalte (inkl. Entwürfe), Seitenmetadaten, Browsing-History, Sprachtranskripte
• Entdeckt: LayerX Security (Israel, Series A, privat); Researcher Natalie Zargarov und Dar Kahllon

Technische Details: iframe-Injection als Kern der Architektur

Der technische Aufbau ist raffiniert. Statt KI-Funktionalität lokal zu implementieren, rendern die Extensions eine vollflächige Remote-iframe, die von einem externen Server geladen wird. Dieser iframe überlagert die aktuelle Webseite und täuscht das Interface eines legitimen KI-Assistenten vor.

Der entscheidende Vorteil für die Angreifer: Da die Logik des Angriffs nicht im Extension-Code selbst liegt, der beim Upload in den Chrome Web Store geprüft wird, sondern serverseitig ausgeliefert wird, kann das Backend-Verhalten jederzeit geändert werden – ohne eine neue Version einzureichen, ohne neue Prüfung.

Was die Extensions im Hintergrund tun:

• Seiteninhalte extrahieren: Via Mozilla Readability Library wird der komplette Text jeder besuchten Seite – inklusive authentifizierter, interner Unternehmensseiten – an den Remote-Server übermittelt.
• Gmail-Daten abgreifen: 15 Extensions injizieren bei Aufruf von mail.google.com dedizierte Scripts, die per .textContent sichtbare E-Mails und Entwürfe aus dem DOM lesen und übertragen.
• Sprachaufnahmen weiterleiten: Die Extensions aktivieren per Web Speech API eine Spracherkennung, deren Transkripte ebenfalls an die Angreifer-Infrastruktur fließen – bei entsprechenden Browserrechten auch Umgebungsgeräusche.
• Telemetrie sammeln: Installations- und Deinstallations-Events werden via Tracking-Pixel an Drittanbieter übermittelt – typisch für Monetarisierungstrichter oder Retention-Analyse.

Root-Cause: Das strukturelle Problem des Chrome Web Store

Der AiFrame-Angriff ist symptomatisch für ein bekanntes, aber ungelöstes Problem: Die Prüfmechanismen des Chrome Web Store sind nicht in der Lage, serverseitig gesteuertes Verhalten zu erkennen. Extensions werden beim Upload statisch analysiert – dynamisch nachrüstbare Remote-iframe-Architekturen umgehen diese Prüfung systemisch.

Das Konzept des Extension Spraying verstärkt das Problem: Angreifer müssen keine einzelne Extension am Leben erhalten. Sie betreiben eine Fabrik austauschbarer Identitäten auf identischer Infrastruktur. Die Hürde für einen Takedown ist minimal; die Hürde für eine dauerhafte Elimination ist hoch.

Google hat auf Anfragen von The Register und BleepingComputer zum Zeitpunkt der Veröffentlichung nicht reagiert.

Breiterer Trend: KI-Branding als Angriffsvektor

AiFrame ist kein Einzelfall. Im Februar 2026 wurden parallel mehr als 300 weitere Chrome-Extensions identifiziert, die Nutzerdaten an Datenmakler verkaufen – mit über 37 Millionen Downloads kumuliert. Browser-Extensions sind zum bevorzugten Angriffspfad geworden, weil sie:

1. Elevated Permissions per Design erhalten (Tab-Inhalte, DOM, Netzwerkverkehr)
2. Nutzervertrauen durch Store-Präsenz und Bewertungen gewinnen
3. Sicherheits-Tools umgehen, die auf Netzwerk- oder Endpoint-Ebene operieren

Der KI-Bezug ist dabei kein Zufall: ChatGPT, Claude und Gemini sind Markennamen mit hoher Installationsbereitschaft. Nutzer installieren Extensions mit diesen Namen schneller und kritikloser als generische Tools. Das macht das KI-Hype-Fenster 2025/2026 zum idealen Distributionsmoment für Browser-Malware.

Handlungsempfehlungen für Unternehmen und CISOs

✅ Sofortmaßnahmen:

• Chrome-Extension-Inventar prüfen: Alle 30 AiFrame-Extension-IDs aus dem LayerX-Report (IoC-Liste) gegen installierte Extensions abgleichen
• Bei Kompromittierung: Passwörter und API-Keys für alle im Browser genutzten Accounts sofort rotieren
• Gmail-Zugang über dedizierte Browser-Profile ohne Extensions für sensitive Kommunikation

✅ Mittelfristige Maßnahmen:

• Extension-Allowlisting per MDM/Browser-Policy (nur verifizierte, intern geprüfte Extensions erlaubt)
• Browser Isolation oder Enterprise-Browser-Lösungen evaluieren (LayerX, Island, Talon)
• Awareness-Training: Mitarbeiter für Extension-Installation aus Drittquellen sensibilisieren
• Network-Monitoring auf unbekannte Domains (insb. *.tapnetic[.]pro sofort blockieren)

✅ Strategisch:

• Zero-Trust-Prinzip auf Browser-Layer ausdehnen: Kein implizites Vertrauen in Store-geprüfte Software
• Browser-Security-Lösung mit Real-Time-Extension-Analyse in Security-Stack integrieren

Investment-Implikationen: Wer profitiert?

Die AiFrame-Kampagne illustriert ein strukturelles Marktversagen: Traditionelle Endpoint-Detection und Netzwerk-Firewalls operieren auf einer Ebene, auf der Browser-native Angriffe unsichtbar bleiben. Das erzeugt Nachfrage in drei Segmenten:

Browser Security (direkter Nutznießer): Spezialisierte Enterprise-Browser-Anbieter wie Island und Talon Cyber Security (2022 von Palo Alto Networks übernommen) sowie Browser-Security-Plattformen wie LayerX sind direkt adressiert. Der Markt für Enterprise-Browser-Security wächst laut Gartner auf über 5 Milliarden USD bis 2027.

Endpoint & Identity Security: Unternehmen wie CrowdStrike (CRWD) mit Falcon Identity Protection und SentinelOne (S) erweitern ihre Plattformen in Richtung Browser-Sichtbarkeit. Palo Alto Networks (PANW) integriert Browser-Security via Prisma SASE.

Secure Access / SASE: Zscaler (ZS) und Cloudflare (NET) profitieren, wenn Organisationen auf Browser-Isolation und Cloud-Access-Security-Broker (CASB) umstellen, die Extension-Traffic kontrollieren können.

Risiko für Google (GOOGL): Anhaltende Chrome-Web-Store-Vorfälle können regulatorischen Druck erzeugen – insbesondere im EU-Kontext (DSA, Cyber Resilience Act). Alphabet muss die Vetting-Infrastruktur des Chrome Web Store substanziell verbessern.

Der Cybersecurity Leaders Fonds investiert unter anderem in führende Anbieter dieser Technologien und profitiert vom strukturellen Wachstum des Browser-Security- und Identity-Schutz-Marktes.

Fazit: KI-Hype wird zur Security-Lücke

«AiFrame» ist mehr als ein Browser-Extension-Vorfall. Es ist ein Präzedenzfall dafür, wie Angreifer die KI-Adoptionswelle als Distribitionskanal nutzen: Nutzer installieren alles, das nach ChatGPT oder Claude klingt – und Sicherheitskontrollen greifen nicht, weil das schadhafte Verhalten nicht im Extension-Code selbst steckt, sondern serverseitig injiziert wird.

Für Investoren bedeutet das: Browser-Security ist kein Nischenthema mehr. Es ist das nächste strukturelle Wachstumssegment in der Cybersecurity-Industrie – befeuert durch KI-Hype, Remote Work und die fundamentale Schwäche von Store-basierten Prüfsystemen.

Bottom Line: Wer Browser-Security-Budgets für 2026 plant, tut dies reaktiv. Wer es 2025 hätte tun sollen, zahlt gerade die Rechnung.

Quellen

• LayerX Security Research: «AiFrame – Fake AI Assistant Extensions Targeting 260,000 Chrome Users via injected iframes» (Februar 2026) – layerxsecurity.com
• BleepingComputer: «Fake AI Chrome extensions with 300K users steal credentials, emails» (12. Februar 2026) – bleepingcomputer.com
• The Register: «30+ Chrome extensions disguised as AI chatbots steal users' API keys, emails, other sensitive data» (12. Februar 2026) – theregister.com
• SecurityWeek: «Over 300 Malicious Chrome Extensions Caught Leaking or Stealing User Data» (14. Februar 2026) – securityweek.com
• PYMNTS.com: «Fraudulent AI Assistants Target User Information» (16. Februar 2026) – pymnts.com
• Gartner: Enterprise Browser Security Market Forecast 2024–2027
• Verwandte AIFence-Artikel: KI-Agenten als Sicherheitsrisiko | AI Security Albtraum