8,8 Millionen infizierte Browser: Sicherheitsforscher decken koordinierte Angriffskampagne auf

Über einen Zeitraum von sieben Jahren haben Angreifer systematisch Browser-Erweiterungen infiltriert und dabei mehr als 8,8 Millionen Anwender von Chrome, Edge und Firefox kompromittiert. Sicherheitsforscher von Koi konnten nun nachweisen, dass hinter mehreren scheinbar unabhängigen Kampagnen eine einzelne Organisation steht: DarkSpectre. Die Gruppe operiert mit erheblichen Ressourcen und zeigt eine Geduld, die in der Cyberkriminalität selten zu beobachten ist.

Koordinierte Operation statt Einzeltäter

Die Analyse ergab: Es handelt sich nicht um verschiedene Akteure mit ähnlichen Methoden, sondern um eine zentral gesteuerte Operation. Die Ermittler stießen bei der Untersuchung der ShadyPanda-Infrastruktur auf Verbindungen zu weiteren Kampagnen. Was folgte, war die Aufdeckung eines Netzwerks von über 300 Erweiterungen.

Die Besonderheit: DarkSpectre pflegt Erweiterungen teilweise über fünf Jahre hinweg als legitime Software, bevor diese mit schadhaftem Code ausgestattet werden. In dieser Zeit sammeln die Programme positive Nutzerbewertungen und erhalten Vertrauenssiegel der Plattformbetreiber.

Drei Kampagnen mit unterschiedlichen Zielen

Die Sicherheitsforscher identifizierten drei separate Operationen mit jeweils eigenen Strategien:

ShadyPanda: Massenüberwachung und Betrug

Die umfangreichste Kampagne betrifft 5,6 Millionen Nutzer über mehr als 100 Erweiterungen hinweg. Die Software präsentiert sich als Produktivitätswerkzeug – etwa für Tab-Verwaltung oder Übersetzungen. Im Hintergrund sammeln die Programme jedoch Browserdaten, manipulieren Suchergebnisse und leiten E-Commerce-Links um.

Besonders die Erweiterung WeTab fällt durch ihren Funktionsumfang auf: vollständige Protokollierung des Browserverlaufs, Aufzeichnung von Mausklicks und Datenübertragung an 17 verschiedene Server, darunter acht in China gehostete Baidu-Server.

GhostPoster: Versteckte Schadcodes in Bilddateien

Mit 1,05 Millionen betroffenen Nutzern konzentriert sich diese Kampagne auf Firefox und Opera. Die Methode: Schädlicher Code wird mittels Steganografie in PNG-Symboldateien verborgen. Die Erweiterung lädt ihr eigenes Logo, extrahiert den versteckten JavaScript-Code und führt ihn aus.

Die Aktivierung erfolgt zeitverzögert mit 48-stündiger Wartezeit und wird nur bei etwa zehn Prozent der Seitenaufrufe ausgeführt. Diese Vorgehensweise erschwert die Erkennung während Prüfverfahren erheblich.

Zoom Stealer: Gezielte Erfassung von Meeting-Daten

Die jüngste entdeckte Kampagne richtet sich mit 2,2 Millionen betroffenen Nutzern gezielt gegen Videokonferenzen. Die als Meeting-Tools getarnten Erweiterungen fordern Zugriff auf über 28 Plattformen an – darunter Zoom, Microsoft Teams, Google Meet und Cisco WebEx.

Die Software sammelt Meeting-Links, Teilnehmerlisten, Referentenprofile und Unternehmensinformationen. Besonders die Erweiterung „Chrome Audio Capture“ erreichte mit über 800.000 Installationen eine erhebliche Verbreitung.

Die Datenübertragung erfolgt in Echtzeit über WebSocket-Verbindungen. Sobald ein Nutzer eine Videokonferenzplattform aufruft, werden die Informationen unmittelbar an die Server der Angreifer übermittelt.

Technische Raffinesse der Angriffsmethoden

DarkSpectre setzt auf mehrschichtige Verschleierungstechniken. Die Erweiterungen nutzen konfigurationsbasierte Steuerung: Statt den Schadcode direkt in der Software zu hinterlegen, laden sie diesen von externen Servern nach. Dadurch können die Betreiber das Verhalten ändern, ohne Updates über die offiziellen Marktplätze einreichen zu müssen.

Ein Beispiel ist die Erweiterung „New Tab – Customized Dashboard“. Nach einer dreitägigen Wartezeit kontaktiert sie ihre Kommando-Server und lädt etwa 67 Kilobyte verschlüsselten JavaScript-Code herunter, getarnt als PNG-Bilddatei. Der Code wird entschlüsselt und auf jeder besuchten Website ausgeführt.

Die Infrastruktur nutzt legitime Dienste als Tarnung. Die Domains infinitynewtab.com und infinitytab.com unterstützten tatsächlich funktionale Features der Erweiterungen – neue Tab-Seiten und Wetter-Widgets. Parallel dienten dieselben Domains als Verbindungspunkt zu schadhafter Infrastruktur.

Verbindung zu chinesischen Infrastrukturen

Die Analyse der Infrastruktur zeigt konsistente Verbindungen nach China:

• Server gehostet auf Alibaba Cloud-Infrastruktur in China
• ICP-Registrierungen mit Bezug zu chinesischen Provinzen, insbesondere Hubei
• Chinesische Kommentare und Variablennamen im Programmcode
• Entwicklungsaktivitäten in chinesischen Zeitzonen
• Spezialisierung auf chinesische E-Commerce-Plattformen wie JD.com und Taobao

Die Kombination aus Geduld, technischer Komplexität und operativer Bandbreite deutet auf einen Akteur mit erheblichen Ressourcen hin. Die Disziplin, Dutzende Erweiterungen über Jahre als legitime Software zu führen, erfordert Finanzierung und strategische Planung.

Aktuelle Bedrohungslage

Von den über 100 identifizierten ShadyPanda-Erweiterungen sind derzeit neun aktiv schädlich. Mehr als 85 weitere befinden sich in einem inaktiven Zustand – sie funktionieren gegenwärtig wie beschrieben, könnten jedoch mit dem nächsten Update als Angriffsvektor aktiviert werden.

Diese sogenannten Sleeper-Erweiterungen haben ihre Vertrauensbildungsphase bereits abgeschlossen: Sie verfügen über positive Bewertungen, Vertrauenssiegel und eine aktive Nutzerbasis. Basierend auf dem bisherigen Vorgehen könnte DarkSpectre diese jederzeit instrumentalisieren.

Implikationen für die IT-Sicherheit

Die Entdeckung wirft grundsätzliche Fragen zum Sicherheitsmodell von Browser-Erweiterungen auf. Das aktuelle Prüfverfahren untersucht Software nur zum Zeitpunkt der Einreichung. Spätere Änderungen durch nachgeladenen Code entziehen sich dieser Kontrolle weitgehend.

Für Unternehmen ergibt sich aus der Zoom-Stealer-Kampagne ein konkretes Risiko: Die systematisch gesammelten Meeting-Informationen ermöglichen gezieltes Social Engineering, Wirtschaftsspionage und den Zugang zu vertraulichen Besprechungen.

Die gesammelten Daten – Meeting-Links mit Zugangscodes, Teilnehmerlisten, Referentenprofile – bieten Angreifern präzise Informationen für nachfolgende Operationen. Die Datenbank aus 2,2 Millionen Nutzerprofilen stellt eine Infrastruktur dar, die verschiedene Angriffsszenarien ermöglicht.

Methodisches Vorgehen der Sicherheitsforscher

Die Aufdeckung begann mit der Analyse von zwei Domains aus der ursprünglichen ShadyPanda-Untersuchung. Von dort aus verfolgten die Forscher Verbindungen zu weiteren Erweiterungen, die wiederum neue Domains offenbarten.

Ein entscheidender Moment war die Entdeckung der C2-Domains liveupdt.com und dealctr.com in einer neu gefundenen Erweiterung. Das Analysesystem zeigte eine Warnung: Diese Domains waren bereits als Teil der GhostPoster-Kampagne markiert. Gleiche Infrastruktur, gleiche Technik zur Payload-Übertragung, unterschiedliche Plattformen – ein Betreiber.

Die Verbindung zum Zoom Stealer ergab sich über die Erweiterung „Twitter X Video Downloader“, die sowohl mit der ShadyPanda-Infrastruktur als auch mit Videokonferenzplattformen kommunizierte. Dies führte zur Identifikation von 17 weiteren Erweiterungen mit identischem Verhalten.

Ausblick und offene Fragen

Die Sicherheitsforscher gehen davon aus, dass DarkSpectre über weitere, noch nicht identifizierte Infrastruktur verfügt. Erweiterungen in der Vertrauensbildungsphase sind schwer zu erkennen, da sie sich tatsächlich legitim verhalten.

Darüber hinaus bleibt unklar, wie viele weitere Akteure ähnliche langfristige Operationen durchführen. Die identifizierten etwa 300 Erweiterungen repräsentieren möglicherweise nur einen Teil der Gesamtbedrohung.

Das grundsätzliche Problem besteht fort: Browser-Marktplätze prüfen Erweiterungen einmalig bei der Einreichung. Angreifer können das Verhalten ihrer Software jederzeit durch nachgeladenen Code ändern. Dieses strukturelle Defizit erfordert neue Ansätze in der kontinuierlichen Überwachung von Browser-Erweiterungen.

„Die in diesem Beitrag bereitgestellten Informationen wurden sorgfältig recherchiert, erheben jedoch keinen Anspruch auf Vollständigkeit oder absolute Richtigkeit. Sie dienen ausschließlich der allgemeinen Orientierung und ersetzen keine professionelle Beratung. Die Redaktion übernimmt keine Haftung für eventuelle Fehler, Auslassungen oder Folgen, die aus der Nutzung der Informationen entstehen.“

Lesen Sie auch:

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf  X / Bluesky / Mastodon