{"id":6054,"date":"2025-12-03T13:51:37","date_gmt":"2025-12-03T13:51:37","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=6054"},"modified":"2025-12-03T13:51:37","modified_gmt":"2025-12-03T13:51:37","slug":"neue-bosartige-browser-erweiterungen-entdeckt","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=6054","title":{"rendered":"Neue b\u00f6sartige Browser-Erweiterungen entdeckt"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
Cyberangreifer nutzen Chrome- und Edge-Add-ons zur Datenerfassung, Suchmanipulation und als Backdoor.\n

Ascannio \u2013 shutterstock.com<\/p>\n<\/div>\n

Forscher des Security-Anbieters Koi haben eine Cyberbande namens \u201eShadyPanda\u201c dabei ertappt, wie sie vertrauensw\u00fcrdige Browser-Erweiterungen f\u00fcr ihre Angriffe missbraucht haben. Ziel der Angreifer war es, Browsing-Daten zu sammeln, Suchergebnisse und den Datenverkehr zu manipulieren sowie eine Backdoor zu installieren.<\/p>\n

Laut Forschungsbericht wurden insgesamt 4,3 Millionen Browser-Instanzen infiziert. \u201eDas Risiko f\u00fcr Unternehmen ist erheblich, wenn sich einer dieser Browser auf Ger\u00e4ten befindet, die f\u00fcr den Zugriff auf Arbeitsressourcen verwendet werden\u201c, warnen die Security-Spezialisten.<\/p>\n

\u201eInfizierte Entwickler-Workstations bedeuten kompromittierte Repositorys und gestohlene API-Schl\u00fcssel\u201d, erkl\u00e4rt Sicherheitsforscher Tuval Admoni in einem Beitrag im Koi Security Blog<\/a>. \u201eDurch die Browser-basierte Authentifizierung bei SaaS-Plattformen, Cloud-Konsolen und internen Tools ist jede Anmeldung f\u00fcr ShadyPanda sichtbar.\u201d<\/p>\n

Die b\u00f6sartigen Browser-Extensions werden demnach zwar nicht mehr verbreitet, aber Unternehmen mit infizierten Rechnern sind weiterhin gef\u00e4hrdet: \u201eAuch wenn die Erweiterungen k\u00fcrzlich aus den Marktpl\u00e4tzen entfernt wurden, bleibt die Infrastruktur f\u00fcr gro\u00df angelegte Angriffe auf allen infizierten Browsern weiterhin vorhanden\u201c, so Admoni.<\/p>\n

Mehrj\u00e4hrige Kampagne mit wechselnden Motiven<\/h2>\n

Die Analyse von Koi zeigt, dass ShadyPanda \u00fcber mehrere Jahre hinweg eine generationen\u00fcbergreifende Infrastruktur von Browser-Erweiterungen unterhielt, die bis ins Jahr 2017 zur\u00fcckreicht. Die Gruppe nutzte Dutzende von Erweiterungen, von denen 20 im Chrome Web Store ver\u00f6ffentlicht und 125 f\u00fcr Edge vertrieben wurden.<\/p>\n

Die fr\u00fchesten Erweiterungen zielten auf Affiliate-Betrug ab, bei dem versteckte Provisionen f\u00fcr Online-K\u00e4ufe der Opfer abgezogen wurden. Sp\u00e4ter verlagerte sich der Schwerpunkt auf die Manipulation von Suchergebnissen. Zuletzt erm\u00f6glichten sie ein ausgefeiltes Tracking des Nutzerverhaltens, sammelten Sitzungsdaten, \u00fcberwachten Browser-Fingerabdr\u00fccken und installierten eine Backdoor, die die Ausf\u00fchrung von Remote-Code (RCE) unterst\u00fctzte.<\/p>\n

Wie Koi feststellt, verfolgte ShadyPanda eine langfristige Strategie und vertrieb Browser-Extension wie das beliebte Dienstprogramm Clean Master mit 200.000 Installationen zun\u00e4chst als v\u00f6llig legitime Tools. Dadurch erhielten die Kriminellen positive Nutzerbewertungen und in einigen F\u00e4llen vertrauensw\u00fcrdige Badges wie \u201eFeatured\u201c oder \u201eVerified\u201c im Chrome Web Store und im Microsoft Edge Add-ons Store.<\/p>\n

Keine \u00dcberpr\u00fcfung nach der Einreichung<\/h2>\n

Diese langfristige Legitimit\u00e4t baute eine gro\u00dfe Nutzerbasis auf und k\u00f6nnte die Nutzung dieser Erweiterungen in Unternehmen normalisiert haben, wo Browser-Add-ons oft ohne gro\u00dfe \u00dcberpr\u00fcfung durchgelassen werden. Erst nachdem ShadyPanda Vertrauen aufgebaut und Millionen von Installationen verbucht hatte, schob es stillschweigend b\u00f6sartige Updates nach.<\/p>\n

Die Angreifer betteten zun\u00e4chst versteckte Installations-Tracking-Routinen ein, die das Nutzerverhalten abbildeten und die Reichweite optimierten, bevor diese durch ein b\u00f6sartiges Update als Waffe eingesetzt wurden.<\/p>\n

Da Chrome- und Edge-Updates automatisch erfolgen und keine erneute Genehmigung der bestehenden Berechtigungen durch den Nutzer erfordern, verlief der Angriff unbemerkt.<\/p>\n

\u201eDer Erfolg von ShadyPanda beruht darauf, dass sieben Jahre lang systematisch dieselbe Schwachstelle ausgenutzt wurde: Marktpl\u00e4tze \u00fcberpr\u00fcfen Erweiterungen lediglcih bei der Einreichung\u201c, so Admoni. \u201eSie beobachten nicht, was nach der Genehmigung passiert.\u201c<\/p>\n

Umgehung und Man-in-the-Browser-Tricks<\/h2>\n

ShadyPanda investierte auch in die Tarnung. Koi fand heraus, dass die b\u00f6sartige Logik bei \u00d6ffnen der Entwicklertools sofort zu harmlosem Verhalten wechselte, was die manuelle Analyse erschwerte.<\/p>\n

Zudem bemerkten die Forscher, dass einige der b\u00f6sartigen Erweiterungen zum Zeitpunkt der Offenlegung noch im Edge Add-ons Store verf\u00fcgbar waren. Der Herausgeber von Clean Master, Starlab Technology, brachte 2023 f\u00fcnf weitere Erweiterungen f\u00fcr Microsoft Edge auf den Markt, die zusammen \u00fcber vier Millionen Installationen erzielten. \u201eAlle f\u00fcnf Erweiterungen sind weiterhin im Microsoft Edge Marketplace verf\u00fcgbar\u201c, betont Admoni und f\u00fcgt hinzu, dass zwei davon umfassende Spyware seien.<\/p>\n

Google hat k\u00fcrzlich Clean Master<\/a> aus dem Chrome Web Store entfernt. Nach Aussagen eines Google-Sprechers ist aktuell keine der Erweiterungen mehr im Chrome Web Store verf\u00fcgbar.<\/p>\n

\u00c4hnlich wie bei einem Man-in-the-Middle-Angriff (MitM<\/a>) positionierte sich ShadyPanda effektiv zwischen den Benutzern und den von ihnen besuchten Websites und f\u00fcgte Tracking-Logik in die von ihnen geladenen Seiten ein. Auf diese Weise konnten die Angreifer den Datenverkehr \u00fcber den Browser beobachten und manipulieren, wodurch sie kontinuierlich Einblick in die Interaktion der infizierten Benutzer mit dem Internet erhielten.<\/p>\n

Admoni weist darauf hin, dass das Entfernen der Erweiterungen wahrscheinlich nicht hilft, da die Angreifer vermutlich bereits wertvolle Daten wie Cookies, Browsing-Muster, Sitzungstoken oder Fingerprinting Data gesammelt haben.(jm)<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

Cyberangreifer nutzen Chrome- und Edge-Add-ons zur Datenerfassung, Suchmanipulation und als Backdoor. Ascannio \u2013 shutterstock.com Forscher des Security-Anbieters Koi haben eine Cyberbande namens \u201eShadyPanda\u201c dabei ertappt, wie sie vertrauensw\u00fcrdige Browser-Erweiterungen f\u00fcr ihre Angriffe missbraucht haben. Ziel der Angreifer war es, Browsing-Daten zu sammeln, Suchergebnisse und den Datenverkehr zu manipulieren sowie eine Backdoor zu installieren. Laut Forschungsbericht […]<\/p>\n","protected":false},"author":0,"featured_media":6055,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-6054","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/6054"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=6054"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/6054\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/6055"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=6054"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=6054"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=6054"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}