Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / DE / MOZ FAKE EXTENSIONS PAID MEDIA

Über 150 gefälschte [REDACTED]-Erweiterungen: ein Backend, ein Netzwerk

The Enablers Registry·Editorial mirror·/de/moz-fake-extensions-paid-media

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

Untersuchung • 6–8 Minuten Lesezeit

Über 150 gefälschte [REDACTED]-Erweiterungen – ein Backend und bezahlte Werbung

Die Medien machten „russische Bären“ für mehr als 150 gefälschte [REDACTED]-Erweiterungen verantwortlich. Unsere Erkenntnisse zeigen eine nigerianische Infrastruktur (IP 185.208.156.66), wiederverwendete Possibly phishing-Kits und wie bezahlte Artikel dazu beitrugen, diesen Mythos zu verbreiten.

Ursprünglich veröffentlicht am Medium — THE ENABLERS REGISTRY

Die irreführende Darstellung

Eine Geschichte über „Über 150 gefälschte [REDACTED]-Erweiterungen“ Die mit einer angeblichen „russischen Spur“ in Verbindung gebrachte Geschichte wurde in den wichtigsten Krypto- und Sicherheitsmedien groß aufgegriffen. Das klingt dramatisch, doch unsere Analyse zeigt, dass diese Darstellung irreführend ist – und schlimmer noch, Es schützt die wahren Täter.

Über 150 Erweiterungen minderer Qualität auf einem einzigen Backend

Alle Erweiterungen in dieser Kampagne waren:

  • Nicht einzigartig, in „Kopieren-Einfügen“-Qualität.
  • Nur die Logos und Namen unterschieden sich.
  • Alles verbunden mit einem ein einziges Backend.
Backend-IP: 185.208.156.66
Die Backend-Domain lautete [REDACTED]/app.php. Die meisten mit dieser IP-Adresse verknüpften Domains sind inzwischen nicht mehr aktiv, doch in Archiven sind dank Urlscan und WebArchive Momentaufnahmen erhalten geblieben.

Unsere Maßnahmen gegen diese Kampagne

Als unabhängige Threat-Intelligence-Gruppe, die sich auf die Abschaltungen von Possibly phishing- und Betrugsinfrastrukturen spezialisiert hat, tun wir Folgendes:

  • Berichte wurden direkt an [REDACTED] übermittelt, um bösartige Erweiterungen zu melden.
  • Eskaliert an [REDACTED], mit der Bitte um fachliche Unterstützung, um das Verbot zu beschleunigen.
  • Veröffentlichung eines Berichts auf Chainabuse, um die Sichtbarkeit in der Community zu erhöhen.
  • Millionen leerer Seed-Phrasen wurden in das Backend der Angreifer eingeschleust, um die gestohlenen Daten zu verfälschen.

Warum es sich hierbei nicht um „russische“ Infrastruktur handelt

Russischsprachige Angreifer nutzen in der Regel:

  • Verteilte Backends (IANA #1910 Workers, Firebase, Amazon, individuelle Links pro Kampagne).
  • Verschleierung und Redundanz zur Vermeidung von Single Points of Failure.

Stattdessen hat diese Kampagne gezeigt:

  • A Nigerianischer Webhosting-Anbieter.
  • Benachbarte Domains, die mit Bankbetrug, gefälschten Krypto-Wallets und gefälschten Lieferbetrug in Verbindung stehen.
  • Ein [REDACTED]-Konto, auf dem gestohlene Daten im Zusammenhang mit einem nigerianischer Betreiber.
„Russische Gruppen bauen ausgefeilte Infrastrukturen auf. Diese hier war kostengünstig, zentralisiert und einfach aufgebaut – genau das, was wir schon zuvor auf nigerianischen Servern gesehen haben.“

Das Problem mit den bezahlten Medien

Bezahlte Medienplatzierungen haben schwerwiegende Folgen:

  1. Ein bezahlter Artikel in einem renommierten Medium wird veröffentlicht.
  2. Hunderte kleinerer Websites, Blogs und [REDACTED]-Kanäle überarbeiten oder übersetzen den Beitrag.
  3. Innerhalb weniger Tage entwickelt sich daraus eine weit verbreitete Falschmeldung, die den Anschein von Glaubwürdigkeit erweckt.
„Die Opfer erkennen ‚die russische Spur‘, glauben, der Fall sei abgeschlossen, und melden sich nicht mehr bei den Behörden. Die wahren Täter bleiben ungestraft.“

Beispiel: Angel Drainer

Alle großen Medien berichteten mit Schlagzeilen über „Angel Drainer wurde abgeschaltet, nachdem die Entwickler identifiziert worden waren.“ Aber stimmte das wirklich – oder handelte es sich nur um eine weitere bezahlte Werbung, die so lange wiederholt wurde, bis sie glaubwürdig wirkte? Für Kriminelle ist der Kauf von Artikeln Kleingeld; für die Opfer verändert er alles.

Cybersicherheitsunternehmen, die ihre eigene PR kaufen

Cybersicherheitsunternehmen zahlen Zehntausende Dollar für Artikel über sich selbst, ihre Forschungsarbeit und ihre Wirkung. Dies wirft grundlegende Fragen auf:

  • Warum muss ein echtes Cybersicherheitsunternehmen für Versicherungsschutz bezahlen?
  • Versuchen sie, die Spuren des echten Hackers zu verwischen?
  • Oder die Identität des Hackers für Erpressung oder Wettbewerbsvorteile ausnutzen?
  • Geht es darum, Vertrauen zu stärken – oder die Wahrnehmung aus Gewinnstreben zu manipulieren?
„Wenn Cybersicherheit zu einem weiteren PR-Spiel wird, bei dem die Fakten davon abhängen, wer mehr bezahlt, dann bricht das Vertrauen in diesem Bereich zusammen.“

Marktindikatoren

Diese Vorgehensweise ist kein Geheimnis:

  • Auf Fiverr, Upwork und spezialisierten PR-Marktplätzen können Sie „Gastbeiträge“ direkt erwerben.
  • Anbieter senden Google-Tabellen mit Dutzenden von Verkaufsstellen und Preisen – darunter auch bekannte Marken aus dem Bereich Cybersicherheit.
  • Manche versprechen: „Gegen Aufpreis kein Sponsorenlogo.“

Zu den angegebenen Zielen für den Kauf von Artikeln gehören:

  • Linkaufbau (SEO).
  • Besucherzahlen und Umsatz.
  • Markenbekanntheit.
  • Reputationsmanagement (Negativmeldungen ausblenden).
  • Soziale Verifizierung.
  • Veröffentlichungslisten für Visumanträge.

Die genannten Kosten umfassen unter anderem $20,000 für bezahlte Interviewtermine bei großen Krypto-Medien.

„Das ist kein Journalismus. Es ist ein Markt – auf dem Glaubwürdigkeit gekauft und verkauft wird.“

Geschäft vs. Lügen

Die Veröffentlichung kostenpflichtiger Inhalte ist nicht illegal – das ist Geschäft. Aber wenn es in den Bereich die Verbreitung falscher Behauptungen, die Irreführung von Ermittlungen und das Ausgeben von PR als Fakten, wird es Teil des Problems.

Fazit

THE ENABLERS REGISTRY ist eine unabhängige Initiative im Bereich Cybersicherheit, die weder bezahlt wird, noch Werbung verkauft oder Gewinne erzielt. Die Fakten sprechen für sich:

  • Über 150 [REDACTED]-Erweiterungen, die auf ein einziges Backend bei einem nigerianischen Hosting-Anbieter geleitet werden.
  • Die Daten wurden an einen nigerianischen [REDACTED]-Account gesendet.
  • Die Erzählung vom „russischen Faden“ ist frei erfunden.
  • Die bezahlte Berichterstattung in den Medien verstärkte diese Erfindung so lange, bis sie wie die Wahrheit wirkte.
  • Selbst Unternehmen aus dem Bereich der Cybersicherheit geben Geld für Eigenwerbung aus.
„Der Verkauf von Anzeigen ist ein Geschäft. Der Verkauf von Lügen als Fakten schützt Kriminelle. Und wenn sogar die Cybersicherheit Narrative verkauft, sind die Opfer – und die Gerechtigkeit – die Verlierer.“

Haftungsausschluss

Wir erheben keine Vorwürfe gegen bestimmte Personen, Unternehmen oder Medien. Alle Fakten stammen aus öffentlich zugänglichen Quellen und lassen sich anhand öffentlicher Archive, Scans und Berichte überprüfen. Die eigentliche Frage lautet: Warum werden solche Darstellungen kontrolliert und verstärkt? Wer profitiert davon, wenn ein unbekanntes Sicherheitsunternehmen eine ungenaue Großrecherche veröffentlicht, die die Aufmerksamkeit von den tatsächlichen Akteuren ablenkt?

#MozillaExtensions#PaidMedia#Disinformation#ThreatIntel#OSINT

Diese Untersuchung teilen

Verwandte Ermittlungen

[REDACTED] TDS: 1.500 Panels offengelegt, keine legitimen Verwendungszwecke
UNTERSUCHUNG
[REDACTED] TDS: 1.500 Panels offengelegt, keine legitimen Verwendungszwecke
„BlockBlasters“-Malware auf [REDACTED]: Nachlässigkeit der Plattform aufgedeckt
UNTERSUCHUNG
„BlockBlasters“-Malware auf [REDACTED]: Nachlässigkeit der Plattform aufgedeckt
UNTERSUCHUNG
Betrüger entlarvt: 4 Betrugs-Backends unter der Lupe

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings