Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Malware Schädliche Browsererweiterungen von ShadyPanda

Schädliche Browsererweiterungen von ShadyPanda

Von Mezo in Malware
Übersetzen Sie in:

Ein eindrucksvolles Beispiel für langfristige Cyber-Ausnutzung ist die siebenjährige Kampagne des Angreifers ShadyPanda, der Browsererweiterungen ins Visier nahm und über 4,3 Millionen Installationen erreichte. Diese Operation verdeutlicht, wie selbst legitime Software missbraucht werden kann, wenn die Aufsicht fehlt.

Von legitimen Tools zu schädlichen Updates

Fünf der kompromittierten Erweiterungen waren ursprünglich legitime Anwendungen, wurden aber Mitte 2024 mit Schadcode versehen. Diese Updates führten zu rund 300.000 Installationen, bevor die Erweiterungen schließlich entfernt wurden. Die schädlichen Updates ermöglichten die stündliche Ausführung von Schadcode, wodurch Angreifer beliebigen JavaScript-Code mit vollem Browserzugriff herunterladen und ausführen konnten. Nach der Aktivierung dieser Erweiterungen:

  • Überwachen Sie jede besuchte Website.
  • Verschlüsselten Browserverlauf exfiltrieren.
  • Erfassen Sie vollständige Browser-Fingerabdrücke.

Ein bemerkenswertes Beispiel ist Clean Master, das zuvor von Google verifiziert worden war. Dieser offizielle Status half ShadyPanda, seine Nutzerbasis zu erweitern und schädliche Updates zu ermöglichen, ohne Verdacht zu erregen.

Massenüberwachung durch beliebte Zusatzsoftware

Fünf weitere Browsererweiterungen, darunter WeTab, überwachten Nutzer in großem Umfang. Diese Add-ons erfassten URLs, Suchanfragen, Mausklicks und andere Browserinteraktionen und übermittelten die Daten an Server in China. Insgesamt wurden diese Erweiterungen etwa vier Millionen Mal installiert, wobei allein WeTab drei Millionen Installationen verzeichnete.

Erste Anzeichen für böswilliges Verhalten traten im Jahr 2023 auf, als die Entwickler nuggetsno15 und rocket Zhang 20 Chrome-Erweiterungen und 125 Edge-Erweiterungen veröffentlichten, die als Hintergrundbilder oder Produktivitätstools getarnt waren.

Ausnutzung von Affiliate-Betrug und Browser-Hijacking

Die Erweiterungen von ShadyPanda betrieben zunächst Affiliate-Betrug, indem sie Tracking-Codes in Websites wie eBay, Amazon und Booking.com einfügten, um unrechtmäßige Provisionen zu generieren. Anfang 2024 eskalierten die Taktiken bis hin zur aktiven Browserkontrolle, einschließlich:

  • Suchanfragenerfassung.
  • Umleitung von Suchanfragen über trovi.com, einen bekannten Browser-Hijacker.
  • Exfiltrieren von Cookies von Zieldomains.

Bis Mitte 2024 wurden drei Erweiterungen, die lange Zeit legitim genutzt wurden, so modifiziert, dass sie stündlich JavaScript-Payloads von „api.extensionplay(dot)com“ abriefen, diese ausführten, um jeden Website-Besuch zu überwachen und verschlüsselte Daten an „api.cleanmasters(dot)store“ zu übertragen. Die Payloads waren stark verschleiert und wechselten in einen harmlosen Modus, sobald Entwicklertools erkannt wurden, wodurch die Malware der Erkennung entging.

Erweiterte Angriffsfähigkeiten

Über die reine Überwachung hinaus könnten diese Erweiterungen auch Adversary-in-the-Middle-Angriffe (AitM) ermöglichen und dadurch Folgendes erleichtern:

  • Zugangsdatendiebstahl.
  • Session-Hijacking.
  • Beliebiges Einschleusen von Code auf beliebigen Webseiten.

Die Überwachung wurde durch Microsoft Edge-Add-ons wie WeTab intensiviert, die umfangreiche Nutzerinteraktionen aufzeichneten, darunter das Scrollverhalten, die Verweildauer auf Seiten und sämtliche Browser-Fingerabdrücke. Diese Erweiterungen stehen in ihren jeweiligen App-Stores nicht mehr zum Download bereit.

Empfohlene Maßnahmen für Benutzer

Diese Kampagne durchlief vier Phasen und entwickelte sich von legitimen Tools zu ausgeklügelter Spyware. Ob die Downloadzahlen künstlich erhöht wurden, um den Anschein von Legitimität zu erwecken, ist unklar; das Risiko für die Nutzer bleibt jedoch hoch. Nutzer, die eine dieser Erweiterungen installiert haben, sollten diese umgehend entfernen und die Passwörter für alle Online-Konten regelmäßig ändern.

Beispiele betroffener Erweiterungen:

  • Clean Master: Der beste Chrome-Cache-Cleaner
  • Speedtest Pro – Kostenloser Online-Internet-Geschwindigkeitstest
  • BlockSite
  • Suchmaschinenumschalter in der Adressleiste
  • SafeSwift Neuer Tab
  • Infinity V+ Neuer Tab
  • OneTab Plus: Tab-Verwaltung & Produktivität
  • WeTab-Benutzeroberfläche
  • Infinity New Tab für Mobilgeräte
  • Infinity New Tab (Pro)
  • Infinity Neuer Tab
  • Dream Afar (Neuer Tab)
  • Download Manager Pro
  • Galaxy-Theme-Hintergrundbild HD 4k Startseite
  • Halo 4K Wallpaper HD Startseite
  • Lehren von ShadyPanda

Der Erfolg von ShadyPanda unterstreicht, dass technische Raffinesse allein nicht ausreicht. Die Kampagne profitierte von einer systemischen Schwachstelle in Browsererweiterungs-Marktplätzen. Erweiterungen werden zwar bei der Einreichung geprüft, ihr Verhalten nach der Genehmigung jedoch weitgehend unkontrolliert. Diese langfristige Kontrolllücke ermöglichte es vertrauenswürdigen Tools, sich unbemerkt zu Überwachungsplattformen zu entwickeln. Dies verdeutlicht die Notwendigkeit ständiger Wachsamkeit, selbst bei verifizierter Software.

Im Trend

Am häufigsten gesehen

Wird geladen...