Sleeper-Spionage: Millionen Browser-Nutzer durch „geduldige Extensions überwacht

Eine raffinierte Cyber-Spionage-Kampagne hat scheinbar harmlose Browser-Erweiterungen in Überwachungswerkzeuge verwandelt – und dabei eine kritische Sicherheitslücke im modernen Internet offengelegt. Über 4,3 Millionen Nutzer von Google Chrome und Microsoft Edge wurden Opfer der Attacke. Das Perfide: Die Angreifer spielten ein jahrelanges Geduldsspiel.

IT-Sicherheitsforscher enthüllten diese Woche, wie eine Hackergruppe namens „ShadyPanda” über Jahre vertrauenswürdige Software aufbaute – nur um sie dann plötzlich in Spionage-Tools zu verwandeln. Die Taktik: Erst Vertrauen gewinnen, dann zuschlagen. Manche Extensions waren bis zu sieben Jahre lang völlig harmlos, sammelten Millionen Downloads und positive Bewertungen. Dann kam das böse Erwachen.

Die am Montag von Koi Security veröffentlichte Analyse zeigt eine beunruhigende Weiterentwicklung krimineller Strategien. Anders als typische Schadsoftware, die sofort angreift, verhielten sich diese Erweiterungen jahrelang unauffällig. Sie funktionierten tadellos – ob als Produktivitäts-Tools, Hintergrundbild-Wechsler oder Wetter-Apps.

Passend zum Thema: Warum sind viele Firmen so verwundbar gegen solche Angriffe? Aktuelle Studien zeigen, dass rund 73 % deutscher Unternehmen auf gezielte Cyberangriffe nicht ausreichend vorbereitet sind. Der kostenlose Leitfaden „Cyber Security Awareness Trends“ erklärt die wichtigsten Bedrohungen (inkl. neuer KI-Regeln), beschreibt praktische Schutzmaßnahmen für IT-Teams und liefert sofort umsetzbare Empfehlungen, mit denen Sie Zugänge, Cloud-Services und interne Webanwendungen besser absichern – ohne große Zusatzinvestitionen. Jetzt kostenlosen Cyber-Security-Report herunterladen

Während dieser Zeit bauten sie kontinuierlich ihre Nutzerbasis aus, erhielten positive Rezensionen und wurden teilweise sogar als „Empfohlen” in den offiziellen Web-Stores gekennzeichnet. Ein perfektes Versteck für das, was kommen sollte.

Mitte 2024 dann der Schlag: ShadyPanda spielte ein bösartiges Update ein. Aus harmlosen Helferlein wurden hochpotente Spionage-Werkzeuge mit Remote-Code-Execution-Fähigkeiten.

„Das ist keine Malware mit festgelegter Funktion. Das ist eine Hintertür”, erklären die Forscher von Koi Security. „ShadyPanda entscheidet, was passiert. Heute Überwachung, morgen vielleicht Ransomware, Passwort-Diebstahl oder Industriespionage.”

Was die Spyware alles mitschneidet

Nach der Aktivierung verwandelten sich die Extensions in ein ausgeklügeltes Überwachungssystem. Die Software baute Verbindungen zu Kommando-Servern auf und fragte stündlich nach neuen Anweisungen. Das ermöglichte den Angreifern, beliebigen JavaScript-Code direkt im Browser der Opfer auszuführen – vorbei an allen Standard-Sicherheitsfiltern.

Der Umfang der gestohlenen Daten ist erschreckend. Malwarebytes bestätigte am Dienstag in einer eigenen Analyse die Fähigkeiten der Spyware:

• Vollständige Browser-Historie: Jede aufgerufene Website wurde protokolliert
• Suchbegriffe: Echtzeitprotokollierung aller Suchanfragen
• Login-Cookies: Sitzungs-Token für Account-Übernahmen
• Browser-Fingerprints: Eindeutige Identifikatoren zur Nutzer-Verfolgung
• Tastatureingaben: Abgefangene Daten aus bestimmten Formularfeldern

Die gestohlenen Informationen wurden verschlüsselt und an Server in China übermittelt. Zusätzlich konnte die Malware Affiliate-Tracking-Codes in Online-Shops einschleusen – vermutlich zur Monetarisierung der Kampagne durch betrügerische Provisionen.

Diese Extensions sind betroffen

Die Kampagne nutzte rund 145 verschiedene Erweiterungen, doch einige wenige populäre Tools verursachten den Großteil der Infektionen. Spitzenreiter: „WeTab”, ein beliebtes Anpassungs-Tool für neue Browser-Tabs mit etwa drei Millionen Installationen im Microsoft Edge Add-ons Store. Weitere kompromittierte Extensions waren „Clean Master”, „Infinity V+” sowie diverse Wetter- und Emoji-Tools.

Die Reaktion der Browser-Hersteller fiel unterschiedlich aus. Google handelte nach der Enthüllung rasch und entfernte die identifizierten Extensions aus dem Chrome Web Store. Microsoft reagierte langsamer: Mehrere schädliche Erweiterungen, darunter das stark verbreitete WeTab, blieben zunächst noch einige Zeit im Edge Add-ons Store verfügbar. Mittlerweile laufen auch dort die Entfernungen.

Kritisch: Wer diese Extensions installiert hat, nutzt sie wahrscheinlich noch immer. Die Entfernung aus den Stores deinstalliert die Software nicht automatisch von den Geräten der Nutzer. Sicherheitsexperten raten dringend, die Erweiterungs-Liste manuell zu prüfen und alle Tools der Anbieter „WeTab” oder „Starlab Technology” sofort zu löschen.

Die Vertrauenslücke im System

Dieser Vorfall legt eine fundamentale Schwachstelle im Browser-Extension-Ökosystem offen. Nutzer verlassen sich seit jeher auf soziale Beweise: hohe Installationszahlen, gute Bewertungen, Verifikations-Badges. ShadyPanda hat genau dieses Vertrauen bewusst ausgenutzt.

„Der Überprüfungsprozess für neue Extensions ist streng, aber Updates werden oft weniger genau kontrolliert”, erklärt ein mit der Untersuchung vertrauter Sicherheitsanalyst. „Angreifer wissen das. Sie kaufen oder entwickeln eine saubere Extension, warten auf Popularität und schleusen dann die Malware per Auto-Update ein – das umgeht die ursprünglichen Prüfungen.”

Besonders gefährlich wird dieser Angriffsvektor für Unternehmen. Da der schädliche Code im vertrauenswürdigen Browser-Kontext läuft, entgeht er oft traditioneller Antiviren-Software und Firewalls. So erhalten Angreifer Einblick in interne Unternehmens-Webanwendungen und sensible Cloud-Plattformen.

Wie wird sich die Branche anpassen? Die Dimensionen der ShadyPanda-Kampagne dürften Google und Microsoft zu schärferen Richtlinien zwingen. Zu erwarten sind strengere Überprüfungen für Updates beliebter Extensions – möglicherweise mit manuellen Reviews vor der Veröffentlichung.

Für Nutzer und Organisationen gilt ab sofort: Zero-Trust auch bei Browser-Erweiterungen. IT-Teams sollten installierte Extensions netzwerkweit prüfen, Berechtigungen einschränken und nicht geschäftskritische Tools blockieren. ShadyPanda zeigt eindrücklich: In der Cybersicherheit ist Geduld eine Waffe – und selbst das nützlichste Werkzeug kann über Nacht zum Feind werden.

PS: Suchen Sie konkrete Handlungsschritte, um Ihr Unternehmen gegen solche Spyware-Angriffe zu wappnen? Der Gratis-Leitfaden bietet praxiserprobte Empfehlungen für Mitarbeiterschulungen, Prüfprozesse für Extension-Updates und Checklisten für Netzwerk- und Cloud-Schutz – ideal für Geschäftsführer und IT-Verantwortliche, die wirksame, budgetschonende Maßnahmen umsetzen wollen. Jetzt Gratis-Leitfaden zur Stärkung Ihrer IT-Sicherheit sichern