Mozilla Fake Extensions Investigation
Nachrichten › Ermittlungen
Untersuchung • 6–8 Minuten Lesezeit

Über 150 gefälschte Mozilla-Erweiterungen – ein Backend und bezahlte Werbung

Die Medien machten „russische Bären“ für über 150 gefälschte Mozilla-Erweiterungen verantwortlich. Unsere Untersuchungen zeigen eine nigerianische Infrastruktur (IP 185.208.156.66), wiederverwendete Phishing-Kits und wie bezahlte Artikel dazu beitrugen, diesen Mythos zu verbreiten.

4 Minuten Lesezeit· Aktualisiert März 2026· PhishDestroy Intelligence
Den vollständigen Artikel im Blog lesen
Ursprünglich veröffentlicht am Medium — PhishDestroy

Die irreführende Darstellung

Eine Geschichte über „Über 150 gefälschte Mozilla-Erweiterungen“ Die mit einer angeblichen „russischen Spur“ in Verbindung stehende Geschichte wurde in den großen Krypto- und Sicherheitsmedien groß aufgegriffen. Es klingt dramatisch, doch unsere Analyse zeigt, dass diese Darstellung irreführend ist – und schlimmer noch, es schützt die wahren Täter.

Über 150 Erweiterungen von geringer Qualität auf einem einzigen Backend

Alle Erweiterungen in dieser Kampagne waren:

  • Nicht einzigartig, in Copy-Paste-Qualität.
  • Nur die Logos und Namen unterschieden sich.
  • Alles verbunden mit einem ein einziges Backend.
Backend IP: 185.208.156.66
Die Backend-Domain lautete alladdsite[.]digital/app.php. Die meisten mit dieser IP-Adresse verknüpften Domains sind inzwischen nicht mehr aktiv, doch Archive haben über Urlscan und WebArchive Momentaufnahmen davon gespeichert.

Unsere Maßnahmen gegen diese Kampagne

Als ehrenamtliche Gruppe für Bedrohungsinformationen, die sich auf die Stilllegung von Phishing- und Betrugsinfrastrukturen spezialisiert hat, tun wir Folgendes:

  • Berichte wurden direkt an Mozilla übermittelt, um auf schädliche Erweiterungen hinzuweisen.
  • Weitergeleitet an Dort, in der um fachliche Unterstützung gebeten wird, um das Verbot voranzutreiben.
  • Veröffentlichung eines Berichts auf Chainabuse zur Steigerung der Sichtbarkeit in der Community.
  • Millionen leerer Seed-Phrasen wurden in das Backend der Angreifer eingeschleust, um die gestohlenen Daten zu verfälschen.

Warum es sich hierbei nicht um „russische“ Infrastruktur handelt

Russischsprachige Cyberkriminelle nutzen in der Regel:

  • Verteilte Backends (Cloudflare Workers, Firebase, Amazon, kampagnenbezogene Links).
  • Verschleierung und Redundanz zur Vermeidung von Single Points of Failure.

Stattdessen hat diese Kampagne gezeigt:

  • A Nigerianischer Webhosting-Anbieter.
  • Verwandte Domains, die mit Bankbetrug, gefälschten Krypto-Wallets und Betrugsmaschen bei Lieferungen in Verbindung stehen.
  • Ein Telegram-Konto, das gestohlene Daten im Zusammenhang mit einem nigerianischer Betreiber.
„Russische Gruppen bauen ausgefeilte Infrastrukturen auf. Diese hier war kostengünstig, zentralisiert und einfach gestrickt – genau das, was wir schon zuvor auf nigerianischen Servern gesehen haben.“

Das Problem mit bezahlten Medien

Bezahlte Medienplatzierungen haben schwerwiegende Folgen:

  1. Ein bezahlter Artikel wird in einem renommierten Medium veröffentlicht.
  2. Hunderte kleinerer Websites, Blogs und Telegram-Kanäle geben den Inhalt wieder oder übersetzen ihn.
  3. Innerhalb weniger Tage entwickelt sich daraus eine massive Falschmeldung, die den Anschein von Glaubwürdigkeit erweckt.
„Die Opfer erkennen ‚die russische Spur‘, glauben, der Fall sei abgeschlossen, und melden sich nicht mehr bei den Behörden. Die wahren Täter bleiben ungestraft.“

Beispiel: Angel Drainer

Alle großen Medien berichteten mit Schlagzeilen über „Angel Drainer wurde abgeschaltet, nachdem die Entwickler identifiziert worden waren.“ Aber stimmte das wirklich – oder handelte es sich nur um eine weitere bezahlte Platzierung, die so lange wiederholt wurde, bis sie glaubwürdig wirkte? Für Kriminelle ist der Kauf von Artikeln Kleingeld; für die Opfer verändert er alles.

Cybersicherheitsunternehmen, die ihre eigene PR betreiben

Cybersicherheitsunternehmen zahlen Zehntausende Dollar für Artikel über sich selbst, ihre Forschungsarbeit und ihre Wirkung. Dies wirft grundlegende Fragen auf:

  • Warum muss ein seriöses Cybersicherheitsunternehmen für seine Berichterstattung bezahlen?
  • Versuchen sie, die Spuren des wahren Hackers zu verwischen?
  • Oder die Identität des Hackers für Erpressung oder Wettbewerbsvorteile ausnutzen?
  • Geht es darum, Vertrauen zu stärken – oder die Wahrnehmung aus Profitgründen zu manipulieren?
„Wenn Cybersicherheit zu einem weiteren PR-Spiel wird, bei dem die Fakten davon abhängen, wer mehr bezahlt, dann bricht das Vertrauen in diesem Bereich zusammen.“

Marktbeobachtungen

Diese Vorgehensweise ist kein Geheimnis:

  • Auf Fiverr, Upwork und spezialisierten PR-Marktplätzen kann man „Gastbeiträge“ direkt kaufen.
  • Anbieter senden Google-Tabellen mit Dutzenden von Händlern und Preisen – darunter auch bekannte Marken aus dem Bereich Cybersicherheit.
  • Manche versprechen: „Gegen Aufpreis kein Sponsorenlogo.“

Zu den erklärten Zielen für den Kauf von Artikeln gehören:

  • Linkaufbau (SEO).
  • Traffic & Umsatz.
  • Markenbekanntheit.
  • Reputationsmanagement (Negativmeldungen ausblenden).
  • Soziale Verifizierung.
  • Verzeichnis der erforderlichen Unterlagen für Visumanträge.

Die genannten Kosten umfassen unter anderem 20.000 Dollar für bezahlte Interviewtermine bei großen Krypto-Medien.

„Das ist kein Journalismus. Es ist ein Markt – auf dem Glaubwürdigkeit gekauft und verkauft wird.“

Geschäft vs. Lügen

Die Veröffentlichung kostenpflichtiger Inhalte ist nicht illegal – das ist ganz normales Geschäft. Aber wenn es in den Bereich die Verbreitung falscher Behauptungen, die Irreführung von Ermittlungen und das Ausgeben von PR als Fakten, wird es Teil des Problems.

Fazit

PhishDestroy ist eine ehrenamtliche Initiative im Bereich Cybersicherheit, die weder bezahlt wird, noch Werbung verkauft oder Gewinne erzielt. Die Fakten sprechen für sich:

  • Über 150 Mozilla-Erweiterungen, die auf ein einziges Backend bei einem nigerianischen Hosting-Anbieter geleitet werden.
  • Die Daten wurden an einen nigerianischen Telegram-Account gesendet.
  • Die Erzählung vom „russischen Faden“ ist frei erfunden.
  • Die bezahlte Berichterstattung in den Medien verstärkte diese Erfindung, bis sie wie die Wahrheit wirkte.
  • Selbst Cybersicherheitsunternehmen geben Geld für Eigenwerbung aus.
„Der Verkauf von Werbung ist ein Geschäft. Der Verkauf von Lügen als Fakten schützt Kriminelle. Und wenn sogar die Cybersicherheit Narrative verkauft, sind die Opfer – und die Gerechtigkeit – die Verlierer.“

Haftungsausschluss

Wir beschuldigen weder Einzelpersonen noch Unternehmen oder Medien. Alle Fakten stammen aus öffentlich zugänglichen Quellen und lassen sich anhand öffentlicher Archive, Scans und Berichte überprüfen. Die eigentliche Frage lautet: Warum werden solche Darstellungen kontrolliert und verbreitet? Wem nützt es, wenn ein unbekanntes Sicherheitsunternehmen eine ungenaue Mega-Recherche veröffentlicht, die die Aufmerksamkeit von den tatsächlichen Akteuren ablenkt?

#MozillaExtensions#PaidMedia#Disinformation#ThreatIntel#OSINT

Diese Untersuchung teilen

X / Twitter Telegram Reddit LinkedIn

Verwandte Untersuchungen

Keitaro TDS: 1,500 Panels Exposed, Zero Legit Uses
UNTERSUCHUNG
Keitaro TDS: 1.500 Panels offengelegt, keine legitimen Verwendungszwecke
Steam BlockBlasters Malware: Platform Negligence Exposed
UNTERSUCHUNG
„BlockBlasters“-Malware auf Steam: Nachlässigkeit der Plattform aufgedeckt
Scammers Exposed: 4 Scam Backends Dissected
UNTERSUCHUNG
Betrüger entlarvt: 4 Betrugs-Backends unter der Lupe
Hinweis zur Transparenz. PhishDestroy ist ein nichtkommerzielles, von Freiwilligen getragenes Projekt. Unsere Untersuchungen spiegeln möglicherweise eine gewisse Voreingenommenheit gegenüber Betrugsinfrastrukturen und den Diensten wider, die diese ermöglichen. Wir empfehlen unseren Lesern, alle Informationen kritisch und unabhängig zu bewerten. Lesen Sie unsere vollständige Transparenzerklärung →