KOI deckt auf: WeTab und Infinity V+ kapern Chrome-Erweiterungen, spähen 4,3 Mio. Nutzer aus und sammeln Daten. Hinter ShadyPanda stecken lautlose Updates.
© RusPhotoBank
WeTab und Infinity V+ geraten ins Visier, nachdem Cybersicherheits-Fachleute darauf hingewiesen haben, dass diese und mehrere weitere Chrome-Erweiterungen über Jahre unbemerkt Browser kapern und sensible Daten abgreifen konnten. Laut KOI waren rund 4,3 Millionen Nutzer von Chrome und Microsoft Edge betroffen. Der Coup setzte nicht auf Phishing oder Social Engineering, sondern auf lautlose Updates bereits populärer Add-ons.
KOI schreibt die Operation einer Gruppe zu, die das Team ShadyPanda nennt. Das Vorgehen war ernüchternd pragmatisch: zunächst voll funktionsfähige Erweiterungen veröffentlichen, über die Zeit Publikum, Bewertungen und Downloads sammeln und dann Updates nachschieben, die schädlichen Code enthalten. Weil die Stores Einreichungen zum Start oft genauer prüfen als spätere Änderungen, konnten Werkzeuge, die vertrauenswürdig wirkten, lange unauffällig bleiben. Ein Geduldsspiel, das eine bekannte Schwachstelle ausnutzt – und auf Routine wie Nachlässigkeit im Alltag der Nutzer setzt.
Der Bericht von KOI zeichnet mehrere Vorfälle nach, darunter zwei Kampagnen im Jahr 2023. In der ersten sollen Dutzende Erweiterungen, die sich als Wallpaper-Pakete und praktische Utilities ausgaben, das Nutzerverhalten verfolgt und Seiteninhalte auf Plattformen wie eBay, Amazon und Booking.com verändert haben – durch das Injizieren von Affiliate-Tags und Trackern, um Käufe und Traffic-Daten zu monetarisieren. Im zweiten Fall waren die schädlichen Funktionen mit Infinity V+ verknüpft: Die Erweiterung leitete Suchen zu einer externen Ressource um, fing Cookies ab, protokollierte Eingaben in die Suchleiste und schleuste die Daten an externe Server.
KOI beschreibt zudem eine „erste Stufe“, in der fünf Erweiterungen eine Hintertür erhielten, die Remote Code Execution ermöglichte und etwa 300.000 Nutzer traf. Einige waren bereits seit 2018–2019 gelistet und trugen sogar Abzeichen, die sie als empfohlen erscheinen ließen; Mitte 2024, nachdem die Installationszahlen gestiegen waren, sollen sie ein Update bekommen haben, das die Hintertür einführte. Das Modul konnte regelmäßig Befehle abrufen, beliebiges JavaScript laden, mit Browser-API-Rechten ausführen und schädliche HTTPS-Inhalte in beliebige Websites einspeisen. Erfasst wurden zudem Browserverläufe, Referrer, Zeitstempel, persistente Kennungen, ein vollständiger Browser-Fingerprint und weitere Daten; gleichzeitig versuchte die Komponente, bei aktiviertem Entwicklermodus möglichst unauffällig zu bleiben.
Der umfangreichste Teil der Recherche richtet den Blick auf eine „zweite Stufe“. Demnach schafften es fünf weitere Erweiterungen desselben Entwicklers in den Edge-Store und überschritten zusammen die Marke von 4 Millionen Installationen, wobei zwei davon potenziell die Installation von Malware anstoßen konnten. Besonders im Fokus stand die New-Tab-Erweiterung WeTab: Ihr werden rund 3 Millionen Installationen zugeschrieben sowie das verdeckte Versenden von Telemetriedaten – darunter besuchte URLs, Suchergebnisse, Mausklicks, der Browser-Fingerprint, Interaktionen auf der Seite und Ereignisse beim Zugriff auf den Speicher. Laut KOI floss die Datenernte über zahlreiche Domains; dank des Update-Mechanismus konnten kompromittierte Browser jederzeit in steuerbare Knoten für weitere Angriffe verwandelt werden.
All das legt offen, wie fragil das Vertrauensmodell rund um Erweiterungen ist: Selbst ein populäres, gut bewertetes Add-on kann seinen Charakter nach einem Update ändern. Der praktische Rat ist banal, aber wirksam: Installierte Erweiterungen prüfen, Überflüssiges entfernen, Berechtigungen sorgfältig lesen – und wenn sich der Browser merkwürdig verhält, das System durchchecken und Passwörter ändern, insbesondere wenn eine Erweiterung Zugriff auf Cookies und den Verlauf gehabt haben könnte. Vorsicht ist hier keine Paranoia, sondern simple Hygiene im Netzalltag.