Cybersicherheitsexperten von Koi Security haben eine groß angelegte Cyberattacke namens RedDirection aufgedeckt, bei der Angreifer 18 bösartige Browser-Erweiterungen über die offiziellen Stores von Chrome und Microsoft Edge verbreitet haben. Die Kampagne erreichte eine besorgniserregende Dimension mit über 2,3 Millionen betroffenen Nutzern weltweit.
Raffinierte Tarnung als legitime Software
Die Besonderheit der RedDirection-Kampagne lag in ihrer ausgeklügelten Verschleierungstaktik. Die Cyberkriminellen entwickelten Erweiterungen, die populäre Anwendungen imitierten: Farbwähler-Tools, VPN-Dienste, Audio-Verstärker und Emoji-Tastaturen. Diese Anwendungen erfüllten tatsächlich ihre beworbenen Funktionen, was ihre Entdeckung erheblich erschwerte.
Die technische Implementierung der Malware basierte auf einem Service Worker im Hintergrund, der die Chrome Extensions API nutzte. Bei jedem Seitenwechsel aktivierte sich ein Event-Handler, der die besuchten URLs abfing und zusammen mit einer eindeutigen Benutzerkennung an Remote-Server übertrug.
Ausmaß der Infiltration in offiziellen App-Stores
Die Untersuchung ergab, dass 11 Erweiterungen im Chrome Web Store und weitere 7 im Microsoft Edge Add-ons Store platziert wurden. Die Gesamtzahl der Installationen überstieg 600.000 für Edge-Erweiterungen, während Chrome-Add-ons deutlich häufiger heruntergeladen wurden. Viele der infizierten Erweiterungen verfügten über offizielle Verifizierungen, hunderte positive Bewertungen und aktive Promotion in den App-Stores.
Besonders bemerkenswert ist, dass die Erweiterung „Volume Max – Ultimate Sound Booster“ bereits im Vormonat von LayerX-Spezialisten aufgrund verdächtiger Aktivitäten untersucht wurde, wobei das bösartige Verhalten damals noch nicht eindeutig bestätigt werden konnte.
Evolutionäre Angriffsstrategie durch Updates
Eine detaillierte Analyse offenbarte, dass die ursprünglichen Versionen der Erweiterungen vollkommen harmlos waren. Der Schadcode wurde erst durch spätere Updates eingeschleust, wobei einige Erweiterungen über Jahre hinweg legitim blieben. Dies deutet auf eine mögliche Kompromittierung von Entwicklerkonten oder die vollständige Übernahme von Projekten durch Dritte hin.
Der automatische Update-Mechanismus in Google Chrome und Microsoft Edge begünstigte die unbemerkte Verbreitung der Malware. Nutzer erhielten die infizierten Versionen ohne Warnung oder Möglichkeit zur Intervention.
Potenzielle Bedrohungen und Sicherheitsrisiken
Obwohl die Forscher während ihrer Tests keine aktiven bösartigen Weiterleitungen beobachteten, eröffnete die Angriff-Infrastruktur den Cyberkriminellen weitreichende Möglichkeiten. Dazu gehörten umfassende Nutzeraktivitäts-Überwachung zur Erstellung detaillierter Interessensprofile, Session-Hijacking mit potentiellen Weiterleitungen zu Phishing-Seiten und Sammlung vertraulicher Daten für zukünftige gezielte Angriffe.
Sofortmaßnahmen und Schutzempfehlungen
Betroffene Nutzer sollten umgehend ihre installierten Erweiterungen überprüfen und verdächtige Add-ons entfernen. Zusätzlich empfiehlt sich eine vollständige Bereinigung des Browser-Verlaufs, Caches und gespeicherter Daten sowie ein kompletter Systemscan mit aktueller Antiviren-Software.
Die RedDirection-Kampagne unterstreicht die kritische Bedeutung einer sorgfältigen Überprüfung von Browser-Erweiterungen vor der Installation, selbst bei offiziellen App-Stores. Eine regelmäßige Kontrolle installierter Add-ons und die zeitnahe Entfernung ungenutzter Erweiterungen reduzieren das Kompromittierungsrisiko erheblich. Dieser Vorfall verdeutlicht die Notwendigkeit verstärkter Sicherheitskontrollen seitens der Store-Betreiber und der Entwicklung effektiverer Mechanismen zur Malware-Erkennung in Updates.
