Firefox-Add-ons greifen Wallets und Krypto-Daten an: Eine digitale Falle im Firefox-Browser bedroht aktuell Millionen Nutzer. Was wie harmlose Erweiterungen aussieht, entpuppt sich als ausgeklügelte Methode zum Diebstahl sensibler Zugangsdaten. Über 40 gefälschte Add-ons tarnen sich im offiziellen Store als bekannte Wallets – darunter MetaMask, Trust Wallet und Coinbase. Im Hintergrund übertragen sie Seed-Phrasen und Private Keys an Server der Angreifer. Die Erweiterungen wirken täuschend echt, mit Original-Logos, professionellem Design und Hunderten gefälschter 5-Sterne-Bewertungen.Darüber berichtet NUME.ch mit Verweis auf die technische Analyse von Koi Security, veröffentlicht bei heise online.
Was diese Bedrohung so tückisch macht
- Offizieller Download über Mozilla Firefox Add-on-Store
- Täuschend echte Designs und Rezensionen
- Keine sofort sichtbare Funktion, die auf Malware hinweist
- Datenabfluss läuft im Hintergrund in Echtzeit
So funktioniert der Angriff über manipulierte Wallet-Add-ons
Die gefälschten Erweiterungen greifen nicht etwa das Betriebssystem oder das E-Mail-Postfach an, sondern nutzen eine völlig legale Funktion des Browsers: Erweiterungen. Nach der Installation schleusen sie Schadcode in Webseiten bekannter Wallet-Anbieter ein. Das Skript fängt alle Eingaben des Nutzers ab – inklusive Wiederherstellungsphrasen, Passwörter oder Keys – und sendet sie an einen externen Server, oft über verschlüsselte Kanäle. Der Nutzer bemerkt davon in der Regel nichts.
Typische Angriffsmechanismen
- DOM-Injection in Formulare auf Wallet-Webseiten
- Zugriff auf Webseiteninhalte via Erweiterungsrechte
- IP-Erfassung zur Zuordnung und Nachverfolgung
- Datenübertragung über TOR oder verschlüsselte Proxies
Diese Wallets sind besonders häufig betroffen
Die Cyberangreifer zielen auf Wallets mit großem Nutzerkreis und hohem Vertrauen in der Krypto-Community. Besonders betroffen sind Marken mit Open-Source-Code oder weit verbreiteter Browser-Nutzung. Viele Nutzer installieren Add-ons, ohne die Herkunft genau zu prüfen – ein fataler Fehler, denn auch minimale Namensänderungen reichen, um eine Falle zu legen. Laut Koi Security wurden gezielt Marken imitiert, die in Europa und Asien hohe Marktanteile haben.
Liste imitierter Wallets laut Analyse
- MetaMask, Trust Wallet, Coinbase Wallet
- Exodus, Phantom, MyMonero, Keplr
- OKX, Bitget, Filfox, Leap, Ethereum Wallet
- Weitere Wallets im Cosmos- und Solana-Ökosystem
Täuschung mit System: Warum viele auf die Add-ons hereinfallen
Die Angreifer nutzen Social Engineering-Techniken kombiniert mit der Dynamik von Store-Marketing. Sie platzieren Add-ons mit offiziellen Namen, hochwertigen Icons und sogar funktionierendem Basis-Code. Bewertungen und Rezensionen stammen häufig von Bot-Konten oder aus Copy-Paste-Schablonen. Viele dieser Add-ons erscheinen auf den ersten Blick professioneller als legitime Tools kleinerer Wallet-Projekte – genau das erhöht die Installationsrate.
Typische Merkmale manipulierter Add-ons
- Falsche Anbieterinformationen oder leere Entwicklerseiten
- 50–200 gefälschte 5-Sterne-Rezensionen
- Verweise auf „Security Updates“ oder „Official Support“
- Teilweise echter Quellcode, ergänzt um schadhaften Codeblock
Verdacht auf russische Cybergruppen – Spuren im Code
Die Analyse von Koi Security enthält technische Hinweise auf eine russische Urheberschaft. Im Code der Add-ons finden sich Kommentare auf Russisch sowie Tools, die bevorzugt in russischen Entwickler-Communities genutzt werden. Eine PDF-Datei aus einem Command-and-Control-Server enthielt Metadaten mit kyrillischen Pfadnamen. Auch die Struktur der Server-Kommunikation ähnelt früheren Malware-Kampagnen, die russischen Gruppen zugeschrieben wurden.
Indizien für russische Herkunft laut Koi Security
- Russischsprachige Kommentare und Compiler-Tags im Code
- DNS- und SSL-Spuren zu russischen Hosting-Diensten
- Nutzung typischer Open-Source-Komponenten aus RU-Repositories
- Metadaten von Konfigurationsdateien mit kyrillischen Pfaden
Schutz fast unmöglich – was Nutzer jetzt aktiv tun müssen
Das größte Problem: Selbst wer nur Add-ons aus dem offiziellen Store nutzt, ist nicht sicher. Mozilla kann nicht jede neue Erweiterung manuell prüfen – die Angreifer nutzen das aus. Deshalb sollten alle Krypto-Nutzer regelmäßig ihre installierten Erweiterungen überprüfen. Unternehmen, die Browserlösungen einsetzen, sollten zentral nur geprüfte Add-ons zulassen und Erweiterungsrichtlinien einführen.
Sofortmaßnahmen für alle, die Wallets im Browser nutzen:
- Add-ons nur über offizielle Wallet-Webseiten installieren
- Erweiterungen regelmäßig prüfen und Unbekanntes entfernen
- Wallet-Zugänge mit Zwei-Faktor-Authentifizierung schützen
- Seeds und Private Keys ausschließlich offline sichern
- Netzwerkaktivitäten beobachten (VPN, Firewall-Logs, DNS-Filter)
Checkliste: So schützen Sie Ihre Krypto-Wallet im Browser
Eine Browser-Wallet bietet Komfort – aber auch enorme Angriffsfläche. Wer Kryptowährungen im Firefox-Browser verwaltet, sollte spätestens jetzt Maßnahmen ergreifen. Die Folgen eines Angriffs sind meist nicht rückgängig zu machen. Besonders fatal: Angriffe über Add-ons werden kaum bemerkt – erst wenn das Wallet leer ist.
Checkliste für sicheren Umgang mit Krypto-Wallets
| Maßnahme | Warum das wichtig ist |
|---|---|
| Erweiterungen kontrollieren | Gefälschte Add-ons sind oft kaum zu erkennen |
| Seed offline sichern | Nie im Browser speichern – besser auf Papier oder Stick |
| VPN nutzen | Schutz vor IP-Erfassung und gezieltem Tracking |
| Add-ons nur von Originalseiten | Store-Bewertungen sind keine Garantie für Sicherheit |
| Anti-Malware & DNS-Filter nutzen | Frühwarnsystem gegen ungewöhnliche Browseraktivitäten |
Hintergrund: Add-on-Stores bleiben ein Einfallstor für Cybercrime
Obwohl Firefox, Chrome und andere Browser mit Add-on-Stores arbeiten, fehlt es oft an systematischer Kontrolle. Die Plattformen verlassen sich auf automatisierte Prüfungen – manuelle Checks finden meist erst nach Nutzerbeschwerden statt. Genau das nutzen Angreifer aus, um manipulierte Erweiterungen wochenlang im Umlauf zu halten. Selbst erfahrene IT-Fachleute übersehen diese Add-ons, weil sie auf den ersten Blick völlig legitim wirken.
Schwachstellen der Add-on-Plattformen
- Keine verpflichtende Entwicklerverifikation
- Mangelhafte Herkunftsprüfung von Code und Account
- Geringe Transparenz bei Meldungen und Reaktionen
- Fehlender Sicherheits-Score für Add-ons mit Zugriff auf Wallets
Die Entdeckung der FoxyWallet-Kampagne zeigt erneut, wie angreifbar Browser-Infrastrukturen selbst bei offiziellen Plattformen sind. Wer Krypto-Wallets über Firefox nutzt, sollte jetzt handeln: Erweiterungen überprüfen, kompromittierte Add-ons entfernen und Sicherheitsmaßnahmen konsequent umsetzen. Die Angreifer operieren weiterhin aktiv – und neue Varianten sind bereits im Umlauf. Wer nicht prüft, riskiert den vollständigen Verlust seiner digitalen Vermögenswerte.
Bleiben Sie informiert – Relevantes. Jeden Tag. Lesen Sie, worum es heute wirklich geht: Cyber-Leck: 16 Milliarden Zugangsdaten veröffentlicht – Gefahr für Millionen Nutzer weltweit