{"id":318954,"date":"2025-12-03T13:00:35","date_gmt":"2025-12-03T12:00:35","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=318954"},"modified":"2025-12-03T13:00:35","modified_gmt":"2025-12-03T12:00:35","slug":"43-millionen-chrome-edge-browser-ueber-extensions-infiziert","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/12\/03\/43-millionen-chrome-edge-browser-ueber-extensions-infiziert\/","title":{"rendered":"4,3 Millionen Chrome\/Edge-Browser \u00fcber Extensions infiziert"},"content":{"rendered":"

\"Edge\"Sicherheitsforscher von Koi sind auf eine Kampagne gesto\u00dfen, bei der Cyberkriminelle Browsererweiterungen f\u00fcr Chrome und Edge \u00fcber sieben Jahre mit sch\u00e4dlichem Code infiziert wurden. Es sollten 4,3 Millionen Benutzer dieser Erweiterungen f\u00fcr Chrome und Edge betroffen sein.<\/p>\n

<\/p>\n

\"\"Nachfolgender Tweet weist beispielsweise auf den Sachverhalt hin, der von den Sicherheitsforschern von Koi.ai zum 1. Dezember 2025 im Artikel 4.3 Million Browsers Infected: Inside ShadyPanda's 7-Year Malware Campaign<\/a> aufgedeckt wurde.<\/p>\n

\"Malware<\/p>\n

Die Cybersicherheitsforscher von Koi sind auf eine von langer Hand vorbereitete Kampagne von Malware \u00fcber Browsererweiterungen gesto\u00dfen. Die Koi-Forscher nennen den Angreifer, der seit sieben Jahren aktiv war, ShadyPanda.<\/p>\n

Erst Vertrauen gewinnen<\/h2>\n

ShadyPanda versuchte erst das Vertrauen der Marktpl\u00e4tze f\u00fcr Browsererweiterungen zu gewinnen. So wurde die \"Clean Master\" – ein Chrome Cache-Cleaner – bei Google im Store f\u00fcr Chrome-Erweiterungen eingereicht. \u00c4hnlich muss es bei Microsoft f\u00fcr den Marktplatz f\u00fcr Edge-Erweiterungen gewesen sein.<\/p>\n

Die von ShadyPanda eingereichten Browser-Erweiterungen f\u00fcr den Google Chrome wurden\u00a0von Google den Nutzer vorgestellt, und nat\u00fcrlich bei der Einreichung auch verifiziert. Das verschaffte den Browser-Erweiterungen sofortiges Vertrauen und stellte eine massive Verbreitung sicher.<\/p>\n

Der Akteur lernte \u00fcber sieben Jahre lang, wie man Browser-Marktpl\u00e4tze missbraucht, um Vertrauen aufzubauen, und Nutzer f\u00fcr die Browser-Erweiterungen zu gewinnen. Gleichzeitig schaute man, ob der Betreiber des Browser-Marktplatzes den Code einer Erweiterung nur einmalig bei der Einreichung oder auch danach regelm\u00e4\u00dfig \u00fcberpr\u00fcft.<\/p>\n

Die Kampagne nutzt nach Angaben der Sicherheitsforscher systemische Schwachstellen in Erweiterungsmarktpl\u00e4tzen aus, die Codes nur zum Zeitpunkt der Einreichung \u00fcberpr\u00fcfen, nicht jedoch ihr Verhalten nach der Genehmigung.<\/p>\n

Pl\u00f6tzlich wird Malware ausgeliefert<\/h2>\n

Sobald ShadyPanda sich sicher war, f\u00fchrten die Browser-Erweiterungen heimlich Updates im Hintergrund durch, um auf diesem Weg Malware zu verbreiten. Sie missbrauchten das Vertrauen der Nutzer, und umgingen so herk\u00f6mmliche Sicherheitssysteme. Die Sicherheitsforscher von Koi deckten zwei aktive Operationen auf:<\/p>\n

    \n
  • Eine RCE-Backdoor mit 300.000 Nutzern: F\u00fcnf Erweiterungen, darunter \u201eFeatured\" und \u201eVerified\" Clean Master, wurden Mitte 2024 nach Jahren legitimer Nutzung als Vehikel zur Verbreitung von Malware eingesetzt. Diese Erweiterungen f\u00fchrten nun st\u00fcndlich Remote-Code-Ausf\u00fchrungen durch \u2013 laden beliebige JavaScripte herunter und f\u00fchren diese aus. Da die Erweiterungen vollen Zugriff auf den Browser haben, k\u00f6nnen sie jeden Website-Besuch \u00fcberwachen, verschl\u00fcsselte Browserverl\u00e4ufe exfiltrieren und vollst\u00e4ndige Browser-Fingerabdr\u00fccke sammeln.<\/li>\n
  • Eine Spyware-Operation mit 4 Millionen Nutzern: F\u00fcnf weitere Erweiterungen desselben Herausgebers, darunter WeTab mit allein 3 Millionen Installationen, sammeln aktiv jede besuchte URL, Suchanfrage und jeden Mausklick und \u00fcbertragen die Daten an Server in China.<\/li>\n<\/ul>\n

    Auch wenn Erweiterungen von ShadyPanda von Google entfernt wurden, sind nach Angaben der Sicherheitsforscher viele Browser-Extensions dieser Entwickler weiterhin aktiv und in der Lage, komplexe Schadprogramme zu verbreiten. Das schlie\u00dft auch Ransomware, Infostealer zum Diebstahl von Zugangsdaten oder Unternehmensspionage ein.<\/p>\n

    Erste Kampagne in 2023<\/h3>\n

    Die erste Kampagne von ShadyPanda fand im Jahr 2023 statt und umfasste 145 Browser- Erweiterungen. 20 im Chrome Web Store unter dem Publisher nuggetsno15<\/em> und nuggetsno125<\/em>, sowie im Microsoft Edge unter dem Publisher rocket Zhang. Alle Erweiterungen tarnten sich als Hintergrundbilder oder Produktivit\u00e4ts-Apps.<\/p>\n

    Der Angriff war ein einfacher Affiliate-Betrug, nicht besonders ausgekl\u00fcgelt, aber erfolgreich. Jedes Mal, wenn ein Nutzer auf eBay, Amazon oder Booking.com klickte, f\u00fcgte die Erweiterung von ShadyPanda unbemerkt Affiliate-Tracking-Codes ein und kassierte im Hintergrund Provisionen bei jedem Kauf. Die Erweiterungen setzten au\u00dferdem Google Analytics-Tracking ein, um Browsing-Daten zu monetarisieren \u2013 jeder Website-Besuch, jede Suchanfrage und jedes Klickmuster wurde protokolliert und verkauft.<\/p>\n

    Zweite Kampagne in 2024<\/h3>\n

    Im Jahr 2024 wurde ShadyPanda mutiger und stattete die Erweiterungen mit aktiver Browsersteuerung aus.\u00a0Die Erweiterung Infinity V+ ist ein Beispiel, getarnt als Produktivit\u00e4tswerkzeug f\u00fcr neue Tabs, kaperte diese zentrale Browserfunktionen:<\/p>\n

      \n
    • Suchumleitung: Jede Websuche wurde auf den bekannten\u00a0 Browser-Hijacker trovi.com umgeleitet. Suchanfragen wurden protokolliert, monetarisiert und verkauft. Suchergebnisse wurden zu Gewinnzwecken manipuliert.<\/li>\n
    • Cookie-Exfiltration: Erweiterungen lasen Cookies von bestimmten Domains aus und sendeten Tracking-Daten an nossl.dergoodting.com<\/em>. Es wurden eindeutige Identifikatoren erstellt, um die Browsing-Aktivit\u00e4ten zu \u00fcberwachen. All dies ohne Zustimmung oder Offenlegung.<\/li>\n
    • Erfassung von Suchanfragen: Jeder Tastenanschlag im Suchfeld wird an externe Server (s-85283.gotocdn[dot]com und s-82923.gotocdn[dot]com) gesendet. Dies erm\u00f6glicht ein Echtzeit-Profiling der Nutzerinteressen.<\/li>\n<\/ul>\n

      ShadyPanda lernte dazu, wurde aggressiver und flog auf. Die Browser-Erweiterungen wurden innerhalb von Wochen oder Monaten nach ihrer Bereitstellung gemeldet und entfernt.<\/p>\n

      Die Langzeitstrategie<\/h3>\n

      Die Gruppe entwickelte f\u00fcnf Browser-Erweiterungen, wovon drei davon in den Jahren 2018\u20132019 hochgeladen wurden. Darunter befindet sich auch die Erweiterung Clean Master mit \u00fcber 200.000 Installationen. Alle Browser-Erweiterungen wurden jahrelang legal betrieben und erhielten den Status \"Empfohlen\" und \"Verifiziert\". Strategie war dre Aufbau von\u00a0Vertrauen, und Nutzer zu gewinnen.<\/p>\n

      Nachdem mehr als 300.000 Installationen der Erweiterungen installiert wurden, startete ShadyPanda 2024 ein Update, welches b\u00f6sartigen Code beinhaltete. Die erm\u00f6glichte automatische Infektion \u00fcber den vertrauensw\u00fcrdigen Auto-Update-Mechanismus von Chrome und Edge. Alle f\u00fcnf Erweiterungen f\u00fchren nun identische Malware aus.<\/p>\n

      Der letzte Schlag der Kampagne<\/h3>\n

      Der gleiche Herausgeber hinter Clean Master in Edge \u2013 Starlab Technology \u2013 ver\u00f6ffentlichte um 2023 herum f\u00fcnf weitere Erweiterungen f\u00fcr Microsoft Edge, und konnte zusammen \u00fcber 4 Millionen Installationen verzeichneten.<\/p>\n

      Koi schreibt zum 1.12.2025, dass alle diese Erweiterungen sind nach wie vor im Microsoft Edge-Marktplatz verf\u00fcgbar seien. Im Gegensatz zu den entfernten Erweiterungen aus Phase 3 ist diese \u00dcberwachungsoperation mit 4 Millionen Nutzern derzeit aktiv.<\/p>\n

      Zwei der f\u00fcnf Erweiterungen sind umfassende Spyware. Das Flaggschiff, WeTab \u65b0\u6807\u7b7e\u9875 (WeTab New Tab Page), hat allein 3 Millionen Installationen und fungiert als ausgekl\u00fcgelte \u00dcberwachungsplattform, die als Produktivit\u00e4tswerkzeug getarnt ist. WeTab richtet sich wohl an chinesische Nutzer. Die Erweiterung sammelt und \u00fcbertr\u00e4gt umfangreiche Nutzerdaten an 17 verschiedene Domains (8 Baidu-Server in China, 7 WeTab-Server in China und Google Analytics).<\/p>\n

      Fazit: Sieben Jahre der gleiche Ansatz<\/h2>\n

      ShadyPanda reklamiert nicht nur technischer Raffinesse f\u00fcr sich, sondern fokussiert sich darauf, dieselbe Schwachstelle sieben Jahre lang systematisch auszunutzen. N\u00e4mlich den Umstand, dass Marktpl\u00e4tze f\u00fcr Extensionen Erweiterungen nur bei der Einreichung \u00fcberpr\u00fcfen. Die Marktpl\u00e4tze beobachten nicht, was nach der Genehmigung und Ver\u00f6ffentlichung per Update passiert.<\/p>\n

      Der Auto-Update-Mechanismus in den Browser-Erweiterungen, der eigentlich die Sicherheit der Nutzer gew\u00e4hrleisten sollte, wurde zum Angriffsvektor. Die vertrauensw\u00fcrdige Update-Pipeline von Chrome und Edge lieferte den Nutzern unbemerkt Malware, schreiben die Sicherheitsforscher. Es ist kein Phishing, kein Social Engineering zur Malware-Verbreitung erforderlich, sondern nur die Kompromittierung der bisher vertrauensw\u00fcrdigen Erweiterungen.<\/p>\n

      Die Sicherheitsforscher formulieren es so: ShadyPanda \"befindet sich seit \u00fcber einem Jahr in Ihrem Netzwerk\" und kontrolliert, was als N\u00e4chstes passiert: Session Hijacking, Sammeln von Anmeldedaten, \u00dcbernahme von Konten, Supply-Chain-Angriffe durch kompromittierte Entwickler. F\u00fcr Unternehmen bedeuten infizierte Entwickler-Workstations kompromittierte Repositorys und gestohlene API-Schl\u00fcssel. Durch die browserbasierte Authentifizierung bei SaaS-Plattformen, Cloud-Konsolen und internen Tools ist jede Anmeldung f\u00fcr ShadyPanda sichtbar. Infizierte Browser-Erweiterungen umgehen herk\u00f6mmliche Sicherheitskontrollen.<\/p>\n

      Aus diesem Blickwinkel bin ich heilfroh, dass mein Ungoogled Chromium-Browser keine Installation von Erweiterungen zul\u00e4sst und ich erst gar nicht in Versuchung kam, so etwas auszuprobieren.<\/p>\n","protected":false},"excerpt":{"rendered":"

      Sicherheitsforscher von Koi sind auf eine Kampagne gesto\u00dfen, bei der Cyberkriminelle Browsererweiterungen f\u00fcr Chrome und Edge \u00fcber sieben Jahre mit sch\u00e4dlichem Code infiziert wurden. Es sollten 4,3 Millionen Benutzer dieser Erweiterungen f\u00fcr Chrome und Edge betroffen sein.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4461,1356,8537,426],"tags":[406,4201,24,4328],"class_list":["post-318954","post","type-post","status-publish","format-standard","hentry","category-edge","category-google-chrome-internet","category-problem","category-sicherheit","tag-chrome","tag-edge","tag-problem","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/318954","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=318954"}],"version-history":[{"count":1,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/318954\/revisions"}],"predecessor-version":[{"id":318955,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/318954\/revisions\/318955"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=318954"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=318954"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=318954"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}