Die über Jahre laufende ShadyPanda-Kampagne, detailliert dokumentiert von Koi Security, macht deutlich, wie hoch das Risiko durch scheinbar harmlose Browser-Erweiterungen ist. Angreifer konnten ein Netz aus 145 schädlichen Extensions für Google Chrome und Microsoft Edge aufbauen, das zusammen mehr als 4,3 Millionen Installationen erreichte. Die Operation startete bereits 2018 und ist in Teilen weiterhin aktiv.
Umfang der ShadyPanda-Kampagne und technische Architektur
Nach Erkenntnissen von Koi Security umfasste ShadyPanda 20 Erweiterungen für Chrome und 125 für Edge. Die Gruppe setzte auf eine schrittweise Eskalation: Von zunächst „nur“ betrügerischer Monetarisierung über Affiliate-Programme hin zu vollwertigen Spionage-Werkzeugen mit Backdoor-Funktionalität und der Fähigkeit zur Remote Code Execution im Browser.
Die ersten Extensions tauchten 2018 in den offiziellen Stores auf. Deutlich bösartiges Verhalten wurde jedoch erst ab 2023 beobachtet. Dieses „Reputationsmodell“ ist typisch für moderne Malware-Kampagnen: Erweiterungen sammeln zunächst Bewertungen und Nutzerbasis, bevor über Updates eine andere, deutlich aggressivere Nutzlast nachgeladen wird.
Evolution der bösartigen Browser-Erweiterungen in vier Phasen
Phase 1: Affiliate-Betrug hinter harmloser Fassade
In der Anfangsphase traten die ShadyPanda-Erweiterungen als Tools für Hintergrundbilder, Interface-Tuning oder Produktivitäts-Features auf. Technisch standen hier Affiliate-Betrug und Klick-Monetarisierung im Vordergrund: Links der Nutzer wurden manipuliert, um eigene Partner-IDs für Dienste wie eBay, Booking oder Amazon einzuschleusen. So konnten die Angreifer Provisionen generieren, ohne zunächst direkt auf Daten oder Konten zuzugreifen.
Phase 2: Suchumleitung und Cookie-Diebstahl
Ab Anfang 2024 wurde die Taktik deutlich aggressiver. Das Erweiterungspaket Infinity V+ begann, Suchanfragen abzufangen und auf kontrollierte Domains wie trovi[.]com oder Subdomains von gotocdn umzuleiten. Parallel dazu wurden Cookies ausgelesen und exfiltriert. Da Cookies häufig Anmeldesitzungen enthalten, ermöglicht dies im schlimmsten Fall den Zugriff auf Konten, ohne dass ein Passwort eingegeben werden muss.
Phase 3: Backdoor mit Remote Code Execution im Browser
Die kritischste Stufe erreichte ShadyPanda, als fünf bereits etablierte Erweiterungen (veröffentlicht 2018–2019, mit positiven Bewertungen) über Updates mit einem Backdoor-Modul nachgerüstet wurden. Dieses erlaubte das aus der Ferne gesteuerte Ausführen beliebigen JavaScript-Codes mit vollem Zugriff auf die Browser-APIs.
Im Fokus steht hier insbesondere die Erweiterung Clean Master mit rund 200.000 Installationen. Insgesamt erreichten die mit Backdoor versehenen Extensions etwa 300.000 Installationen. Kompromittierte Browser bauten stündlich Verbindungen zu Command-and-Control-Servern (C2) auf, um neue Anweisungen abzurufen – effektiv wurden sie zu fernsteuerbaren Clients in einer Spionage-Infrastruktur.
Phase 4: Massendatensammlung über Edge-Add-ons
In der aktuell beobachteten Phase nutzt ShadyPanda fünf Microsoft-Edge-Erweiterungen, die 2023 unter dem Namen Starlab Technology veröffentlicht wurden. Diese Add-ons wurden zusammen mehr als 4 Millionen Mal installiert. Ihr Schwerpunkt liegt auf der verdeckt durchgeführten Sammlung sensibler Nutzerdaten in großem Stil.
Welche Daten die ShadyPanda-Erweiterungen stehlen
Gemäß Koi Security werden die erfassten Informationen an 17 in China gehostete Domains übertragen. Typischerweise werden folgende Datenkategorien abgegriffen:
- Browserverlauf und Suchanfragen;
- Details zu besuchten Webseiten und aktiven Tabs;
- technische Informationen zu Browser und Endgerät (Version, Sprache, Betriebssystem, Auflösung);
- dauerhafte Identifier und Telemetriedaten zur Wiedererkennung von Nutzern;
- Cookies und Sitzungsdaten, soweit sie für die Erweiterung zugänglich sind.
Die Code-Struktur der aktuellen Edge-Erweiterungen lässt laut Analyse jederzeit die Nachrüstung eines aggressiveren Backdoors zu – ähnlich wie bei Clean Master. Zwar wurden bislang keine entsprechenden Updates beobachtet, die technische Grundlage dafür ist jedoch vorhanden.
Reaktion von Google und Microsoft sowie Risiken für Anwender
Nach Veröffentlichung der Untersuchung entfernte Google die identifizierten bösartigen Chrome-Erweiterungen zügig aus dem Chrome Web Store. Im Microsoft Edge Add-ons Store waren zum Zeitpunkt des Berichts jedoch noch mindestens zwei verdächtige Erweiterungen verfügbar: WeTab mit rund 3 Millionen Nutzern und Infinity New Tab (Pro) mit etwa 650.000 Installationen.
Die Risiken für Betroffene gehen weit über unerwünschte Werbung hinaus. Eine Browser-Extension mit Backdoor und Remote Code Execution kann auf Seiteninhalte, Formularfelder, Passworteingaben, Sitzungs-Tokens und andere vertrauliche Daten zugreifen. Damit rücken insbesondere Online-Banking, Cloud-Dienste, E-Mail-Konten und Unternehmensportale in den Fokus der Angreifer.
Praktische Sicherheitsmaßnahmen gegen bösartige Browser-Erweiterungen
Koi Security empfiehlt betroffenen Nutzern, verdächtige Erweiterungen umgehend zu deinstallieren und anschließend Passwörter aller wichtigen Online-Konten zu ändern. Wo Zwei-Faktor-Authentifizierung (2FA) aktiviert ist, sollten vertrauenswürdige Geräte, aktive Sitzungen und Wiederherstellungsoptionen überprüft werden.
Grundsätzlich sollten Browser-Erweiterungen wie vollwertige Software behandelt werden. Sinnvolle Maßnahmen sind unter anderem:
- regelmäßige Überprüfung der installierten Erweiterungen und Entfernen ungenutzter Add-ons;
- Bevorzugung bekannter und vertrauenswürdiger Entwickler mit transparenter Datenschutzpraxis;
- kritische Bewertung von Rechten und Berechtigungen, die eine Extension beim Installieren anfordert;
- Aufmerksamkeit für ungewöhnliches Browser-Verhalten (Weiterleitungen, neue Startseiten, veränderte Suche);
- in Unternehmen: Richtlinien zur Extension-Kontrolle, etwa Whitelists und zentrale Verwaltung von Add-ons.
Die ShadyPanda-Kampagne zeigt exemplarisch, dass bereits eine einzige kompromittierte Erweiterung ausreicht, um ganze Browserumgebungen zu unterwandern. Wer seine Angriffsfläche reduzieren möchte, sollte die Anzahl installierter Extensions bewusst gering halten, nur wirklich benötigte Tools zulassen und Sicherheitsrichtlinien für Browser genauso ernst nehmen wie für Betriebssysteme und mobile Apps. Ein konsequenter Blick in die eigene Add-on-Liste und das kritische Hinterfragen vermeintlich „praktischer“ Erweiterungen sind ein wirksamer erster Schritt, um nicht Teil der nächsten großen Spionagekampagne zu werden.
