Malware-Welle, Millionen

Malware-Welle: 4,3 Millionen Browser-Nutzer kompromittiert

02.12.2025 - 01:09:12

Malware-Welle: 4,3 Millionen Browser-Nutzer kompromittiert - Foto: über boerse-global.de
Malware-Welle: 4,3 Millionen Browser-Nutzer kompromittiert - Foto: über boerse-global.de

Beliebte Browser-Erweiterungen als Trojanisches Pferd: Eine siebenjährige Spionage-Kampagne hat Millionen Nutzer infiltriert. Während Google bereits reagierte, bleiben Microsoft-Edge-Anwender weiter gefährdet.

Die Cybersecurity-Firma Koi Security deckte gestern eine der raffiniertesten Malware-Operationen der letzten Jahre auf. Unter dem Codenamen „ShadyPanda” verwandelten Angreifer vertrauenswürdige Produktivitäts-Tools in Überwachungsinstrumente. Das Perfide: Die Extensions funktionierten jahrelang einwandfrei, sammelten positive Bewertungen und Millionen Nutzer – bevor ein stilles Update sie in Spionage-Software verwandelte.

Besonders brisant: Während Google die betroffenen Erweiterungen aus dem Chrome Web Store entfernte, waren am Montagnachmittag mehrere der gefährlichsten Add-ons noch immer im Microsoft Edge Store verfügbar. Allein die Extension WeTab bringt es auf etwa drei Millionen Installationen.

Anzeige

Viele Unternehmen und Privatnutzer sind durch Erweiterungs‑Malware wie ShadyPanda gefährdet. Die Attacke über den Auto‑Update‑Mechanismus (insgesamt rund 4,3 Millionen Betroffene, WeTab allein etwa 3 Millionen Installationen) zeigt, wie stille Updates zur Hintertür werden. Unser kostenloses E‑Book erklärt aktuelle Cybersecurity‑Trends, praktische Sofortmaßnahmen, Monitoring‑Checks und Prioritäten für IT‑Verantwortliche, damit Sie Browser‑ und Update‑Pipelines sicher absichern. Jetzt kostenlosen Cyber-Security-Report herunterladen

Was ShadyPanda von gewöhnlicher Schadsoftware unterscheidet, ist die geduldige Strategie. Die betroffenen Extensions – darunter Clean Master, WeTab und Infinity New Tab (Pro) – operierten jahrelang legitim. Sie erhielten „Verifiziert”-Abzeichen, wurden prominent platziert und gewannen das Vertrauen der Nutzer.

„Der Auto-Update-Mechanismus wurde zur Angriffsfläche”, erklären die Koi-Security-Forscher. „Die vertrauenswürdige Update-Pipeline von Chrome und Edge lieferte die Malware direkt aus. Kein Phishing nötig, keine Social-Engineering-Tricks – nur stille Versionsupdates, die Produktivitäts-Tools in Überwachungsplattformen verwandelten.”

Erst Mitte 2024 schlugen die Angreifer zu. Ein unauffälliges Update installierte eine Backdoor mit Remote-Code-Execution-Fähigkeiten. Die Hacker übernahmen damit praktisch die vollständige Kontrolle über die Browser-Umgebung der Opfer.

Umfassende Datenabschöpfung

Die technische Analyse offenbart das erschreckende Ausmaß der Überwachung. Jede infizierte Browser-Installation kontaktiert stündlich einen Command-and-Control-Server unter api.extensionplay[.]com, um neue Befehle abzurufen. Über diesen Kanal können die Angreifer beliebigen JavaScript-Code mit vollen Browser-Rechten ausführen – sämtliche Sicherheitsfilter werden umgangen.

Die Malware erfasst systematisch:

  • Komplette Browsing-Historien und Echtzeit-Navigation
  • Suchanfragen bei Google, Bing und anderen Plattformen
  • Browser-Fingerprints zur eindeutigen Identifikation
  • Cookies und Session-Tokens für potenziellen Account-Zugriff

Alle gestohlenen Daten werden verschlüsselt und an Server in China übertragen, darunter api.cleanmasters[.]store. In früheren Kampagnenphasen betrieben die Angreifer zudem „Affiliate-Betrug”: Sie injizierten Tracking-Codes für Amazon, Booking.com und andere Händler, um Provisionen abzugreifen.

Microsoft reagiert zu langsam

Die unterschiedliche Reaktionsgeschwindigkeit der Browser-Anbieter alarmiert Sicherheitsexperten. Während Google rasch handelte, klafft bei Microsoft eine gefährliche Lücke.

Zum Zeitpunkt der Veröffentlichung am gestrigen Montag waren fünf infizierte Extensions noch immer im Microsoft Edge Store aktiv. WeTab führt mit drei Millionen Installationen, Infinity New Tab (Pro) kommt auf etwa 650.000 Nutzer.

„Anders als die entfernten Chrome-Extensions bleiben diese Edge-Add-ons live”, warnt der Koi-Security-Report. „Sie sammeln aktiv umfassende Browser-Fingerprints, Suchanfragen und vollständige URLs.”

Besonders heikel: Edge ist in vielen Unternehmen der Standard-Browser. Die Verzögerung bei der Entfernung könnte sensible Geschäftsdaten gefährden. Wie viele deutsche Firmen betroffen sind, ist derzeit noch unklar.

Systemisches Versagen der Marktplätze

Der ShadyPanda-Vorfall entlarvt eine strukturelle Schwachstelle im Browser-Extension-Ökosystem. Das „Trust but Verify”-Modell von Google und Microsoft konzentriert sich stark auf die initiale Prüfung. Spätere Updates durchlaufen oft weniger rigorose Kontrollen – eine Einladung für den klassischen „Bait and Switch”.

Sicherheitsforscher Tuval Admoni betont die Geduld der Angreifer: „Sie setzten auf langfristigen Vertrauensaufbau statt schnelle Profite. Jahre sauberer Code brachten ihnen Featured-Status und Top-Rankings – und damit eine riesige Nutzerbasis.”

Mit 4,3 Millionen betroffenen Nutzern gehört ShadyPanda zu den größten Extension-basierten Angriffen 2025. Ein „Verifiziert”-Badge ist offensichtlich keine dauerhafte Sicherheitsgarantie.

Was Nutzer jetzt tun sollten

Microsoft dürfte nach der öffentlichen Enthüllung zeitnah reagieren. Doch selbst die Entfernung aus dem Store deinstalliert bereits installierte Extensions nicht automatisch von lokalen Browsern.

Sofortmaßnahmen für alle Edge- und Chrome-Nutzer:

Überprüfen Sie Ihre installierten Extensions unter edge://extensions oder chrome://extensions. Falls WeTab, Clean Master oder Infinity New Tab vorhanden sind, entfernen Sie diese umgehend manuell.

Da die Malware Cookies und Session-Daten abgreifen kann, sollten betroffene Nutzer zusätzlich:

  • Alle aktiven Sitzungen in sensiblen Accounts beenden
  • Passwörter für Bank-, E-Mail- und Social-Media-Konten ändern
  • Auf verdächtige Kontobewegungen achten

Microsoft wird voraussichtlich in den kommenden Tagen ein offizielles Statement veröffentlichen oder ein automatisiertes Removal-Update ausrollen. Bis dahin gilt: Wachsamkeit ist die beste Verteidigung.

Anzeige

PS: Für Firmen, die Edge als Standardbrowser einsetzen, sind schnelle, pragmatische Schutzschritte jetzt besonders wichtig. Dieses kostenlose Leitfaden‑Report liefert eine umsetzbare Checkliste, Monitoring‑Tipps, Anleitungen zur Absicherung von Cookies und Session‑Daten sowie Budget‑freundliche Maßnahmen, mit denen auch kleine IT‑Teams ernsthafte Risiken reduzieren können. Holen Sie sich konkrete Schritte für die Notfallprävention und Wiederherstellung. Kostenlosen Unternehmens-Cyber-Guide anfordern

@ boerse-global.de
Die besten Black Friday Angebote für