Die Geräte von über 8,8 Millionen Nutzer*innen wurden in sieben Jahren infiziert. Über 300 Browser-Erweiterungen, viele davon jetzt noch erhältlich, wurden als Malware identifiziert.

Professionell organisierte Cyber-Kriminalität

Eine ausführliche Analyse von KOI Research zeigt auf wie eine Hackergruppe, von KOI DarkSpectre genannt, über mehrere Jahre mit verschiedenen „Kampagnen“ Endgeräte infiziert. Die erste Kampagne, genannt „GhostPoster“, hatte mit einer Millionen erreichten Nutzer*innen noch eine vergleichsweise geringe Reichweite und nur in den Browsern Opera und Firefox aktiv. Die zweite Kampagne, genannt „Shanty Panda“, 5,6 Millionen Nutzer*innen in Edge, Chrome und Firefox. Die dritte und vielleicht gefährlichste Kampagne, genannt „The Zoom Stealer“, erreichte 2,2 Millionen Nutzer*innen. Während die ersten beiden Hacker Kampagnen Verbraucher in den Fokus genommen haben, zielt die dritte darauf ab sensible Informationen aus Online Meetings zu stehlen. Im Fokus sind hier also Unternehmen. Angesichts der Reichweite dieser Kampagnen, der dafür notwendigen Domains und Erweiterungen, muss man von organisierter Cyber-Kriminalität ausgehen.

Shady Panda

KOI identifiziert über 100 Erweiterungen für die Browser Chrome, Edge und Firefox, die schädlichen Code enthalten. Erweiterungen für Browser werden meist nur bei initialer Anmeldung detailliert geprüft, während darauffolgende Updates nicht und nur unzureichend auf schädlichen Code überprüft werden. Das macht die Hacker-Gruppe sich zu nutzen. Die Erweiterungen werden zunächst als „saubere“ Erweiterungen bereitgestellt mit legitimen Nutzen, beispielsweise Wetter-Apps oder zusätzliche Browser-Funktionen zum Organisieren der Favoriten und Tabs. Über Jahre verdienen Erweiterungen sich den Status „verifiziert“ oder gar „Featured“ und werden dann über sukzessive Updates zu kriminellen Zwecken wie der Überwachung und Affiliaten-Betrug genutzt.

The Zoom Stealer

KOI identifiziert 18 Erweiterungen, die für über 28 verschiedene Video-Konferenzen Applikationen installiert werden können. Auch hier wirken Erweiterungen auf den ersten Blick als nützliche Ergänzungen, welche Produktivität und Organisation von Online-Meetings verbessern soll. Durch das Speichern von teilnehmenden Personen und im Meeting angehängten Links oder Dateien können umfangreiche Datenbanken entstehen, die Einblicke in Unternehmen und deren Handlungen geben.

Unternehmen, die das Installieren solcher Erweiterungen grundsätzlich erlauben, sollten dringend prüfen welche Erweiterungen von Beschäftigten genutzt werden.

Verbindung zu China

Es wurden zahlreiche Hinweise, wenn nicht gar Beweise, gefunden, die darauf hindeuten, dass es sich um organisierte Kriminalität aus China handelt:

• Server werden in der Alibaba Cloud gehostet
• Chinesische Sprache in analysierten Code-Artefakten
• Entwicklungszeiträume passen zur chinesischen Zeitzone
• Shady Panda gezielt für chinesischen E-Commerce entwickelt

Verbraucher im europäischen Raum müssen angesichts dieser Meldung also nicht in Panik verfallen, sollten aber wachsam sein.