💥 Bedrohliche Erweiterungen in Chrome und Microsoft Edge entdeckt
Vier Millionen Browser infiziert
Aktuelle Nachrichten über Software sind oft mit alarmierenden Entdeckungen gefüllt. Kürzlich haben Cyber-Sicherheitsexperten gefährliche Erweiterungen aufgedeckt, die von Millionen von Nutzern von Google Chrome und Microsoft Edge heruntergeladen wurden. Interessanterweise waren diese Erweiterungen zu Beginn, als sie im Chrome Web Store und im Microsoft Edge Add-On-Store verfügbar waren, noch unbedenklich, jedoch wurden sie im Laufe der Zeit mit schädlichem Code aktualisiert. Dies ist eine bewährte Methode, wie es Angreifern gelingt, die Sicherheitsmaßnahmen der Plattformen zu umgehen.
Laut Untersuchungen der Firma Koi wird diese Kampagne von der chinesischen Hackergruppe ShadyPanda durchgeführt. Diese Gruppe nutzt beliebte Browsererweiterungen, die zuvor keine Bedrohung darstellten, um Nutzer auszuspionieren. Die erste bekannte Aktion umfasste mindestens fünf Erweiterungen, die über einen Zeitraum von fünf Jahren ohne Probleme funktionierten, bevor sie mit schädlichem Code ausgestattet wurden.
Eines der betroffenen Add-ons ist Clean Master, das eigentlich dazu diente, den Cache zu bereinigen. Diese Erweiterung hatte über 200.000 Nutzer und war im Chrome Web Store als „verifiziert“ ausgezeichnet. Google hat dieses potenziell gefährliche Add-on mittlerweile aus dem Angebot entfernt.
Die zweite Angriffswelle der Hacker zielte auf weitere fünf Erweiterungen ab, darunter das beliebte Tab-Management-Tool WeTab, welches mehr als drei Millionen Mal installiert wurde. Insgesamt haben diese Erweiterungen über vier Millionen Nutzer weltweit und einige von ihnen sind nach wie vor im Microsoft Edge Add-On-Store verfügbar, obwohl Microsoft sie jederzeit entfernen könnte.
Die Funktionsweise des schädlichen Codes lässt sich wie folgt beschreiben: Der Code, der 2024 in die Erweiterungen eingefügt wurde, hat die Aufgabe, Daten über das Online-Verhalten der Nutzer zu sammeln. Diese Informationen werden in Echtzeit an externe Server in China gesendet. Die bösartigen Erweiterungen agieren wie ein Fernzugriffsprogramm, das automatisch JavaScript in den Browsern ausführt, ohne dass die Nutzer um Erlaubnis gefragt werden. Schätzungen zufolge wurden über 4,3 Millionen Geräte während dieser Kampagne infiziert.
Forscher haben eine Liste mit IDs der betroffenen Chrome- und Edge-Erweiterungen veröffentlicht, die mit dieser Bedrohung in Verbindung stehen. Nutzer, die eines dieser Add-ons installiert haben, sollten es umgehend deinstallieren. Um dies zu tun, genügt es, zu chrome://extensions/ oder edge://extensions/ zu navigieren, je nach genutztem Browser, den Entwicklermodus zu aktivieren und die von den Forschern veröffentlichten IDs zu überprüfen. Wenn ein schädliches Add-on gefunden wird, sollte auf „Entfernen“ geklickt und die Auswahl bestätigt werden.
Die Hackergruppe ShadyPanda hat ihre ersten Angriffe im Jahr 2023 gestartet, doch ihre Aktivitäten im Cyberraum sind bereits seit 2018 dokumentiert. Ursprünglich waren sie in Affiliate-Betrugsmaschen verwickelt, bei denen schädliche Anwendungen Affiliate-Tracking-Codes einfügten und so Daten über das Kaufverhalten der Nutzer sammelten. Im Lauf der Zeit erweiterten sie ihre Aktivitäten und integrierten schädliche Aktualisierungen in bestehende Erweiterungen, was es ihnen ermöglichte, unentdeckt zu bleiben.
Laut den Forschern wurde es für ShadyPanda einfacher, schädliche Software in die Erweiterungen einzuschleusen, weil Google nicht so gründlich nach aktualisierten Erweiterungen sucht wie nach neuen Anwendungen im Store.
Zusammenfassend lässt sich sagen, dass diese Entdeckung eine ernsthafte Warnung für alle Nutzer von Browsererweiterungen darstellt. Es ist entscheidend, die verwendeten Add-ons regelmäßig zu überwachen und potenziell schädliche Anwendungen sofort zu entfernen. In einer Zeit, in der Datenschutz und Sicherheit im Internet immer wichtiger werden, sollten Nutzer wachsam bleiben und ihre digitalen Gewohnheiten kritisch hinterfragen.