Vorsicht Falle: Beliebte Chrome-Erweiterung „Save Image as Type“ als Malware enttarnt

Millionenfach installiert und von Google offiziell empfohlen: Die Chrome-Erweiterung „Save Image as Type“ entpuppte sich als raffinierte Malware. Nachdem das Tool jahrelang zuverlässig WebP-Dateien in JPG oder PNG konvertierte, missbrauchten die Hintermänner das Vertrauen der Nutzer für großangelegten Werbebetrug. Google zog erst im März 2026 die Reißleine, obwohl Sicherheitsforscher bereits Monate zuvor vor dem Netzwerk hinter der Erweiterung warnten. Der Vorfall wirft ein düsteres Licht auf die Kontrollmechanismen im Chrome Web Store.

Hinter der Fassade der nützlichen Bildkonvertierung lief eine komplexe Operation zum Cookie-Stuffing. Die Malware schleuste unsichtbare Iframes in nahezu jede besuchte Webseite ein – von Amazon über YouTube bis hin zu Reddit. Diese Iframes luden im Hintergrund Affiliate-Links von über tausend Händlern. Tätigte ein Nutzer später einen Kauf bei einem dieser Anbieter, strichen die Betrüger unberechtigt Provisionen ein. Um unentdeckt zu bleiben, nutzten die Entwickler clevere Mechanismen: Die Schadsoftware aktivierte sich erst, nachdem ein Anwender mindestens zehn Bilder gespeichert hatte. Zudem mied das Skript Seiten mit Entwickler-Schriftarten, um Experten keine Anhaltspunkte für eine Analyse zu liefern.

Die Analyse der Code-Historie belegt den schleichenden Umbau zur Spionage-Schleuder. Während Versionen bis Mitte 2023 völlig sauber waren, schwoll der Code Ende 2024 plötzlich an. In der Version 1.7.2 wurde die Infrastruktur der Erweiterung schließlich komplett zweckentfremdet. Die Daten landeten verschlüsselt in einer lokalen Datenbank auf der Festplatte der Nutzer. Betroffene können die Spuren der Malware noch heute finden. In den LocalStorage-Einstellungen besuchter Seiten hinterließ das Tool den Zeitstempel „ldcsv“. Wer diesen Eintrag in den Entwickler-Tools findet, war definitiv Teil des Botnetzes.

Besonders peinlich für Google: Microsoft entfernte die Edge-Version des Tools bereits Anfang 2025 wegen Malware-Verdachts. Google hingegen behielt die Erweiterung über ein Jahr länger im Store und schmückte sie sogar weiterhin mit dem „Empfohlen“-Abzeichen. Erst nachdem der ursprüngliche Entwickler das Projekt an eine dubiose Firma verkaufte und das GitHub-Repository gelöscht wurde, eskalierte die Situation. Dieser Fall zeigt eindringlich, wie einfach populäre Erweiterungen durch Besitzerwechsel gekapert und als Waffe gegen Millionen von Browsern eingesetzt werden können.

Wer die Erweiterung genutzt hat, sollte sie umgehend löschen. Da Chrome das Plugin mittlerweile global deaktiviert hat, ist die unmittelbare Gefahr gebannt. Ein fader Beigeschmack bleibt dennoch. Wenn selbst langjährige Top-Apps mit Millionen-Nutzerbasis unbemerkt zu Betrugswerkzeugen mutieren, schwindet das Vertrauen in das gesamte Ökosystem der Browser-Addons.

Links mit einem * sind Partner-Links. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalte ich eine kleine Provision. Für euch ändert sich am Preis nichts. Danke für eure Unterstützung!