Nach Erkenntnissen von Koi Security hat eine groß angelegte Malware-Kampagne unter dem Namen „VK Styles“ rund 500.000 Nutzerkonten der russischen Plattform VKontakte (VK) betroffen. Mehrere als Design-Tools getarnte Chrome-Erweiterungen manipulierten im Hintergrund die Konten der Opfer, abonnierten eigenständig Communities und setzten Profileinstellungen regelmäßig zurück – ohne sichtbare Hinweise im Browser.
Umfang der VK-Styles-Kampagne und Zielsetzung der Angreifer
Die Forscher identifizierten fünf schädliche Chrome-Erweiterungen, die gezielt auf VKontakte-Nutzer ausgerichtet waren. Zusammen erreichten sie mehr als 500.000 Installationen, wobei das Kernstück der Kampagne, die Erweiterung VK Styles, über 400.000 Installationen verzeichnete. Im Fokus standen vor allem russischsprachige Anwender in Osteuropa, Zentralasien und entsprechenden Diasporas.
Das zentrale Ziel bestand darin, ein besonders großes VK-Community-Profil aufzubauen und eine dauerhafte Infrastruktur zur Monetarisierung und für mögliche Folgekampagnen zu schaffen. Ein betroffenes Add-on wurde zwar bereits 2024 aus dem Chrome Web Store entfernt, doch der Operator veröffentlichte schnell neue Varianten und setzte die Aktivität fort – ein typisches Muster in der Welt bösartiger Browser-Erweiterungen.
Technische Funktionsweise: Tarnung als Design-Tool für VK
Im Chrome Web Store präsentierten sich die Erweiterungen als harmlose Hilfsmittel für Design-Anpassungen, zusätzliche Funktionen und ein verbessertes VK-Interface. Im Hintergrund injizierten sie jedoch auf jede besuchte Seite Skripte für die Kontextwerbung von Yandex sowie zusätzlichen JavaScript-Code aus externen Quellen. Damit erhielten die Angreifer eine flexible Möglichkeit, Funktionen nachzuladen und das Verhalten der betroffenen Browser dynamisch zu steuern.
Besonders auffällig war die Umsetzung der Yandex.Metrica-Integration: Die ID des Tracking-Counters wurde dynamisch berechnet (etwa über eine Formel wie ‚R-A-‚ + 843079 * 2). Dieser Trick erschwert statische Code-Analysen und hilft dabei, einfache Signaturprüfungen bzw. automatisierte Scans zu umgehen – ein häufiger Ansatz moderner Browser-Malware.
Missbrauch legitimer Plattformen als verdeckte C2-Infrastruktur
Steuerung über VK-Profil und GitHub
Eine Besonderheit der Kampagne ist die Nutzung eines legitimen VK-Profils als Command-and-Control-Infrastruktur (C2). Die Seite vk[.]com/m0nda lieferte über HTML-Meta-Tags Konfigurationsdaten und verschlüsselte Verweise auf GitHub sowie Yandex-Dienste. Aus diesen Quellen wurden weitere Skripte und die eigentliche schädliche Nutzlast nachgeladen. Dadurch verliert die klassische Blockierung „verdächtiger Domains“ an Wirkung, weil vertrauenswürdige Plattformen als Transportweg eingesetzt werden.
Der Kampagne wird mit hoher Wahrscheinlichkeit ein Akteur mit dem Alias 2vk zugeordnet. Auf dessen GitHub-Account findet sich ein Repository mit dem Namen „-“, das eine obfuskierte JavaScript-Datei „C“ enthält. Dieser Code wird in jede von der Erweiterung manipulierte VK-Seite eingebettet und steuert das Verhalten der Malware zentral.
Fortlaufende Weiterentwicklung des Schadcodes
Eine Analyse der 17 Commits zwischen Juni 2025 und Januar 2026 zeigt eine schrittweise Weiterentwicklung der Funktionen: von einfachen Zugriffen auf CSRF-Cookies über automatisierte Abo-Vorgänge und das Zurücksetzen von Einstellungen bis hin zur Interaktion mit der VK Donut API zur Monetarisierung. Dieses iterative Vorgehen entspricht gängigen Entwicklungsprozessen professioneller Malware-Projekte.
Manipulation der Nutzerkonten: Auto-Abos, Einstellungs-Reset und CSRF-Risiko
Kernfunktion der Kampagne war die verdecke Auto-Subscription auf die Gruppe VK Styles (ID -168874636), die rund 1,4 Millionen Mitglieder aufweist. Bei jedem Besuch von VK erhöhte der Schadcode mit einer Wahrscheinlichkeit von etwa 75 % die Chance, dass das Opfer erneut der Community beitritt. Selbst nach manueller Abmeldung bestand eine ähnlich hohe Wahrscheinlichkeit einer erneuten Zwangsanmeldung.
Zusätzlich nahm die Malware regelmäßig Eingriffe in die Profileinstellungen vor. Etwa alle 30 Tage setzte sie zentrale Parameter zurück, darunter die Sortierung des Newsfeeds auf „Neueste“ sowie individuelle Interface-Anpassungen. Auf diese Weise blieb die Kontrolle über das Nutzungserlebnis beim Angreifer und nicht beim Anwender.
Besorgniserregend ist zudem der Umgang mit CSRF-Cookies von VK, insbesondere dem Cookie remixsec_redir. CSRF-Token (Cross-Site Request Forgery) sollen eigentlich verhindern, dass Angreifer Aktionen im Namen eines eingeloggten Nutzers durchführen. Erhält ein bösartiges Skript jedoch Zugriff auf diese Cookies und kann sie auswerten, lassen sich Klicksequenzen und Anfragen wie legitime Nutzeraktionen aussehen. Dies ermöglicht weitreichende Konto-Manipulationen, auch wenn Passwörter nicht direkt gestohlen werden.
Monetarisierung über VK Donut und Social-Proof-Effekte
Für die Monetarisierung setzte die Kampagne auf Premium-Funktionen der Erweiterung, die über die VK Donut API gesteuert wurden. Der Schadcode prüfte, ob ein Nutzer zahlender Unterstützer („Donator“) der VK-Styles-Gruppe ist, und schaltete je nach Status einen eingeschränkten oder vollständigen Funktionsumfang frei.
Damit zahlten einige Anwender faktisch für ein Tool, das ihre eigene Kontosicherheit kompromittierte. Die hohe Mitgliederzahl der Gruppe wirkte als starkes soziales Beweismerkmal (Social Proof): Viele Nutzer interpretieren eine große Community und bekannte Gesichter unter den Mitgliedern als Vertrauenssignal und installieren Add-ons dadurch unkritischer – ein Muster, das sich auch in anderen Social-Media-Kampagnen beobachten lässt.
Gefahr automatischer Updates: Wenn legitime Erweiterungen kippen
Ein zentrales Risiko, das VK Styles verdeutlicht, ist der Mechanismus der automatischen Updates von Browser-Erweiterungen. Sobald ein Entwickler eine kritische Masse an Installationen erreicht hat – hier rund 500.000 Geräte –, kann er jederzeit eine aggressivere oder deutlich gefährlichere Version ausrollen, ohne dass die Nutzer aktiv zustimmen müssen. Ähnliche Szenarien wurden in der Vergangenheit etwa bei gekaperten Entwicklerkonten oder aufgekauften Add-ons beobachtet.
Im Fall von VK Styles scheinen sich die Aktivitäten bislang vor allem auf Kontomanipulation und Monetarisierung beschränkt zu haben; ein großangelegter Diebstahl von Zugangsdaten oder personenbezogenen Informationen ist aktuell nicht dokumentiert. Die verwendete Architektur – verdeckte C2-Infrastruktur, dynamischer Code-Download, automatisierte Kontoaktionen – wäre jedoch ohne Weiteres für deutlich schwerwiegendere Angriffe nutzbar.
Die Kampagne lief Schätzungen zufolge über rund sieben Monate nahezu unentdeckt und zeigt damit, wie schwierig es selbst für große Plattformanbieter ist, gezielt versteckte Schadfunktionen in populären Erweiterungen frühzeitig zu erkennen.
Empfehlungen: So schützen sich Nutzer und Unternehmen vor bösartigen Browser-Erweiterungen
Für Endanwender ist es essenziell, die Anzahl installierter Erweiterungen zu begrenzen und nur Add-ons aus vertrauenswürdigen Quellen und von bekannten Entwicklern zu verwenden. Berechtigungen (z.B. Zugriff auf alle besuchten Websites oder auf Cookies) sollten kritisch geprüft werden. Auffälligkeiten wie unerklärliche Abonnements von Gruppen, zurückgesetzte Einstellungen oder veränderte Newsfeed-Sortierung in VK sind ein deutliches Warnsignal und sollten Anlass für eine Überprüfung der installierten Erweiterungen geben.
Unternehmen sollten Whitelist-Ansätze für Browser-Erweiterungen implementieren, etwa über zentrale Chrome-Enterprise-Richtlinien, und nur freigegebene Plugins in der Organisation zulassen. Ergänzend empfiehlt sich ein Monitoring von sicherheitsrelevanten Auffälligkeiten im Zusammenhang mit Social-Media-Konten und Browser-Plug-ins sowie die Integration des Themas „Sicherheit von Browser-Erweiterungen“ in Awareness-Trainings.
Wer den Verdacht hat, von VK Styles oder ähnlichen Kampagnen betroffen zu sein, sollte alle verdächtigen Erweiterungen umgehend entfernen, Passwörter und aktive Sitzungen in VK zurücksetzen und – soweit möglich – eine zusätzliche Absicherung per Zwei-Faktor-Authentifizierung aktivieren. Eine regelmäßige Überprüfung von Browser-Add-ons und Kontoeinstellungen ist heute ein unverzichtbarer Bestandteil grundlegender Cyberhygiene.
