Sieben Jahre lang blieben sie unentdeckt: Chinesische Hacker haben mit getarnten Browser-Erweiterungen Millionen Nutzer infiltriert. Ihre Methode ist erschreckend raffiniert.

Eine chinesische Hackergruppe namens DarkSpectre hat nach Erkenntnissen des Sicherheitsunternehmens Koi mehr als 8,8 Millionen Nutzer der Browser Chrome, Edge und Firefox mit Schadsoftware infiziert. Die Cyberangriffe zeichnen sich durch ihre strategische Planung und ausgeklügelte Vorgehensweise aus. Über einen Zeitraum von sieben Jahren führte DarkSpectre mehrere parallele Kampagnen durch, die unterschiedliche kriminelle Ziele verfolgten – von Betrugsmaschen bis hin zu Spionageaktivitäten. Zu den größten Operationen zählten ShadyPanda mit 5,6 Millionen betroffenen Nutzern, Zoom Stealer mit 2,2 Millionen Opfern sowie GhostPoster, das etwa 1,05 Millionen Internetnutzer kompromittierte.

Die Angreifer setzen dabei auf eine besonders perfide Taktik: Sie verbreiten Browser-Erweiterungen, die zunächst völlig harmlos erscheinen und erst nach längerer Zeit ihre schädlichen Funktionen aktivieren. Einige dieser digitalen Werkzeuge bleiben bis zu fünf Jahre unauffällig, bevor sie bösartige Funktionen nachladen – ein Umstand, der sowohl für normale Anwender als auch für Sicherheitsexperten die frühzeitige Erkennung nahezu unmöglich macht.

Zusätzlich nutzt die Gruppe Internetdomains, die vordergründig reguläre Dienste wie Wettervorhersagen anbieten, während sie im Hintergrund schadhafte Server steuern. Diese Verschleierungstaktik, bei der schädlicher Code in scheinbar legitimen Erweiterungen versteckt wird, ermöglicht es den Angreifern, zahlreiche Nutzer gleichzeitig zu infiltrieren. Die Sicherheitsforscher von Koi identifizierten über 100 miteinander verbundene Erweiterungen auf verschiedenen Browser-Marktplätzen.

Raffinierte Tarnmethoden

Um Sicherheitsüberprüfungen zu umgehen, haben die Hacker ihre Malware mit besonderen Verzögerungsmechanismen ausgestattet. Die Schadsoftware wird nicht sofort nach der Installation aktiv, sondern erst nach einer gewissen Wartezeit und dann auch nur sporadisch. Manche Erweiterungen beginnen ihre schädlichen Aktivitäten erst mehrere Tage nach der Installation und werden nur bei etwa jedem zehnten Seitenaufruf aktiv.

Ein weiterer Tarnungsmechanismus besteht darin, den Schadcode in Bilddateien zu verbergen, aus denen dann heimlich JavaScript-Befehle ausgeführt werden. DarkSpectre kann den Schadcode jederzeit modifizieren, ohne neue Updates in den Browser-Stores veröffentlichen zu müssen. Diese Methode verschafft den Hackern vollständige Kontrolle über ihre Erweiterungen und ermöglicht flexible Anpassungen ihrer Funktionalität.

Vielfältige Bedrohungen

Besondere Vorsicht ist auch für Nutzer von ChatGPT geboten, da Kriminelle Konversationen mit dem KI-System potenziell zur Verbreitung von Schadsoftware missbrauchen könnten. Der Begriff Malware – eine Kurzform für „Malicious Software“ aus dem Englischen – umfasst sämtliche Programme, die darauf abzielen, Computersysteme oder andere elektronische Geräte zu beschädigen.

Computernutzer können leicht und oft unbemerkt Opfer solcher Schadprogramme werden. Diese digitalen Schädlinge können Daten entwenden, Geräte beschädigen oder Nutzeraktivitäten überwachen. Das Spektrum an Malware ist breit gefächert und reicht von klassischen Computerviren über Trojaner, Würmer und Rootkits bis hin zu Ransomware, Adware und Spyware.

Trotz unterschiedlicher Funktionsweisen verfolgen alle Varianten dasselbe grundlegende Ziel: Schaden zu verursachen.

Die Verbreitung erfolgt häufig unbemerkt über Downloads, E-Mail-Anhänge oder unsichere Webseiten.