Neue bösartige Browser-Erweiterungen entdeckt

Ascannio – shutterstock.com

Forscher des Security-Anbieters Koi haben eine Cyberbande namens „ShadyPanda“ dabei ertappt, wie sie vertrauenswürdige Browser-Erweiterungen für ihre Angriffe missbraucht haben. Ziel der Angreifer war es, Browsing-Daten zu sammeln, Suchergebnisse und den Datenverkehr zu manipulieren sowie eine Backdoor zu installieren.

Laut Forschungsbericht wurden insgesamt 4,3 Millionen Browser-Instanzen infiziert. „Das Risiko für Unternehmen ist erheblich, wenn sich einer dieser Browser auf Geräten befindet, die für den Zugriff auf Arbeitsressourcen verwendet werden“, warnen die Security-Spezialisten.

„Infizierte Entwickler-Workstations bedeuten kompromittierte Repositorys und gestohlene API-Schlüssel”, erklärt Sicherheitsforscher Tuval Admoni in einem Beitrag im Koi Security Blog. „Durch die Browser-basierte Authentifizierung bei SaaS-Plattformen, Cloud-Konsolen und internen Tools ist jede Anmeldung für ShadyPanda sichtbar.”

Die bösartigen Browser-Extensions werden demnach zwar nicht mehr verbreitet, aber Unternehmen mit infizierten Rechnern sind weiterhin gefährdet: „Auch wenn die Erweiterungen kürzlich aus den Marktplätzen entfernt wurden, bleibt die Infrastruktur für groß angelegte Angriffe auf allen infizierten Browsern weiterhin vorhanden“, so Admoni.

Mehrjährige Kampagne mit wechselnden Motiven

Die Analyse von Koi zeigt, dass ShadyPanda über mehrere Jahre hinweg eine generationenübergreifende Infrastruktur von Browser-Erweiterungen unterhielt, die bis ins Jahr 2017 zurückreicht. Die Gruppe nutzte Dutzende von Erweiterungen, von denen 20 im Chrome Web Store veröffentlicht und 125 für Edge vertrieben wurden.

Die frühesten Erweiterungen zielten auf Affiliate-Betrug ab, bei dem versteckte Provisionen für Online-Käufe der Opfer abgezogen wurden. Später verlagerte sich der Schwerpunkt auf die Manipulation von Suchergebnissen. Zuletzt ermöglichten sie ein ausgefeiltes Tracking des Nutzerverhaltens, sammelten Sitzungsdaten, überwachten Browser-Fingerabdrücken und installierten eine Backdoor, die die Ausführung von Remote-Code (RCE) unterstützte.

Wie Koi feststellt, verfolgte ShadyPanda eine langfristige Strategie und vertrieb Browser-Extension wie das beliebte Dienstprogramm Clean Master mit 200.000 Installationen zunächst als völlig legitime Tools. Dadurch erhielten die Kriminellen positive Nutzerbewertungen und in einigen Fällen vertrauenswürdige Badges wie „Featured“ oder „Verified“ im Chrome Web Store und im Microsoft Edge Add-ons Store.

Keine Überprüfung nach der Einreichung

Diese langfristige Legitimität baute eine große Nutzerbasis auf und könnte die Nutzung dieser Erweiterungen in Unternehmen normalisiert haben, wo Browser-Add-ons oft ohne große Überprüfung durchgelassen werden. Erst nachdem ShadyPanda Vertrauen aufgebaut und Millionen von Installationen verbucht hatte, schob es stillschweigend bösartige Updates nach.

Die Angreifer betteten zunächst versteckte Installations-Tracking-Routinen ein, die das Nutzerverhalten abbildeten und die Reichweite optimierten, bevor diese durch ein bösartiges Update als Waffe eingesetzt wurden.

Da Chrome- und Edge-Updates automatisch erfolgen und keine erneute Genehmigung der bestehenden Berechtigungen durch den Nutzer erfordern, verlief der Angriff unbemerkt.

„Der Erfolg von ShadyPanda beruht darauf, dass sieben Jahre lang systematisch dieselbe Schwachstelle ausgenutzt wurde: Marktplätze überprüfen Erweiterungen lediglcih bei der Einreichung“, so Admoni. „Sie beobachten nicht, was nach der Genehmigung passiert.“

Umgehung und Man-in-the-Browser-Tricks

ShadyPanda investierte auch in die Tarnung. Koi fand heraus, dass die bösartige Logik bei Öffnen der Entwicklertools sofort zu harmlosem Verhalten wechselte, was die manuelle Analyse erschwerte.

Zudem bemerkten die Forscher, dass einige der bösartigen Erweiterungen zum Zeitpunkt der Offenlegung noch im Edge Add-ons Store verfügbar waren. Der Herausgeber von Clean Master, Starlab Technology, brachte 2023 fünf weitere Erweiterungen für Microsoft Edge auf den Markt, die zusammen über vier Millionen Installationen erzielten. „Alle fünf Erweiterungen sind weiterhin im Microsoft Edge Marketplace verfügbar“, betont Admoni und fügt hinzu, dass zwei davon umfassende Spyware seien.

Google hat kürzlich Clean Master aus dem Chrome Web Store entfernt. Nach Aussagen eines Google-Sprechers ist aktuell keine der Erweiterungen mehr im Chrome Web Store verfügbar.

Ähnlich wie bei einem Man-in-the-Middle-Angriff (MitM) positionierte sich ShadyPanda effektiv zwischen den Benutzern und den von ihnen besuchten Websites und fügte Tracking-Logik in die von ihnen geladenen Seiten ein. Auf diese Weise konnten die Angreifer den Datenverkehr über den Browser beobachten und manipulieren, wodurch sie kontinuierlich Einblick in die Interaktion der infizierten Benutzer mit dem Internet erhielten.

Admoni weist darauf hin, dass das Entfernen der Erweiterungen wahrscheinlich nicht hilft, da die Angreifer vermutlich bereits wertvolle Daten wie Cookies, Browsing-Muster, Sitzungstoken oder Fingerprinting Data gesammelt haben.(jm)