Für mehr als sieben Jahre in FolgeEinem großangelegten Cyberangriff ist es gelungen, über scheinbar harmlose Erweiterungen in die wichtigsten Browser auf dem Markt, darunter Google Chrome und Microsoft Edge, einzudringen. Das Ausmaß des Angriffs ist so gewaltig, dass geschätzt wird, dass mindestens 8,8 Millionen Nutzer Menschen auf der ganzen Welt hätten betroffen sein können, viele davon in Europa und Spanien.
Die Untersuchung wurde von Cybersicherheitsspezialisten wie der Firma geleitet. Koi.aihat ein hochorganisiertes kriminelles Netzwerk aufgedeckt, das als DarkSpectredie angeblich das Vertrauen in offizielle Erweiterungsstores ausgenutzt haben, um Schadsoftware zu verbreiten. Das Besorgniserregendste daran ist, dass Die meisten Betroffenen hatten keinerlei Verdacht. dass ihre Bankdaten, Zugangsdaten oder Unternehmensinformationen im Hintergrund erfasst wurden.
Ein stiller Angriff, der Chrome- und Edge-Erweiterungen ausnutzte
Laut von Forschern veröffentlichten Daten hat DarkSpectre eine komplexe Infrastruktur aufgebaut, um Inhalte zu veröffentlichen und zu pflegen. fast 300 schädliche Erweiterungen in den offiziellen Stores von Chrome, Edge, Firefox und Opera. Viele dieser Erweiterungen wurden als ganz alltägliche Hilfsprogramme präsentiert: von Tab-Managern und Übersetzern bis hin zu Werbeblocker oder Werkzeuge zur Steigerung der Produktivität.
Der Trick bestand darin, zunächst legitime Funktionen anzubieten und dadurch Downloads und einen guten Ruf zu erlangen. künstlich erzeugte positive Rezensionen und BewertungenSobald die Erweiterungen eine beträchtliche Anzahl von Nutzern erreicht hatten, drängten die Angreifer sie auf verdeckte Updates das den Schadcode enthielt, ohne dass der Benutzer offensichtliche Änderungen im Betrieb bemerkte.
Im Falle von Chromium-basierten Browsern, wie zum Beispiel Google Chrome und Microsoft EdgeEs wurde ein Netzwerk von Trojaner-ähnlichen Erweiterungen entdeckt, die als Anpassungstools oder Werbeblocker getarnt waren. Mindestens eine Phase des Angriffs wurde identifiziert. 30 besonders beliebte Erweiterungen Sie sind in der Lage, Bankzugangsdaten, Passwörter für soziale Medien und Daten aus automatisch ausgefüllten Formularen zu stehlen und all diese Informationen in Echtzeit an Server zu senden, die unter der Kontrolle von Cyberkriminellen stehen.
Zusätzlich zum Datendiebstahl enthielten einige dieser Erweiterungen folgende Funktionen: Werbeeinblendung und SuchumleitungDies ermöglichte die Einblendung aufdringlicher Werbung, die Weiterleitung von Nutzern auf Phishing-Seiten und die Vervielfachung der Betrugsmöglichkeiten, einschließlich der Nachahmung von Bankseiten oder Zahlungsdiensten, die in Spanien und dem übrigen Europa weit verbreitet sind.
Mehr als 8,8 Millionen Opfer und drei große koordinierte Kampagnen
Das Ausmaß des Angriffs spiegelt sich in den von Geheimdiensten und Cybersicherheitsunternehmen verarbeiteten Zahlen wider: Es wird geschätzt, dass 8,8 Millionen Nutzer Sie wurden weltweit von den verschiedenen Kampagnen im Zusammenhang mit DarkSpectre betroffen. Um dies zu erreichen, soll die Gruppe angeblich folgende Maßnahmen ergriffen haben: drei unterschiedliche Angriffslinien, bekannt als ShadyPanda, GhostPoster und Zoom Stealer.
Kampagne ShadyPanda Es war hinsichtlich des Volumens am aggressivsten. Durch mehr als 100 schädliche Erweiterungen, die primär darauf abzielte, den E-Commerce-Traffic zu manipulieren, hätte die Daten von ca. 5,6 Millionen NutzerSobald die versteckten Funktionen aktiviert waren, konnten diese Erweiterungen Links auf Shoppingportalen verändern, Zahlungen auf betrügerische Seiten umleiten oder zusätzlichen Code einfügen, um die Nutzeraktivitäten weiterhin zu verfolgen.
Experten weisen darauf hin, dass diese Manöver Online-Shops und weit verbreitete Zahlungsdienste in der Europäischen Union beeinträchtigten und damit Tür und Tor öffneten für grenzüberschreitender Finanzbetrug und potenzielle Probleme hinsichtlich der Einhaltung gesetzlicher Vorschriften für Plattformen, die die Manipulation des Datenverkehrs nicht rechtzeitig erkannten.
Die zweite große Offensive, genannt GhostPosterDas Hauptziel waren Browser. Firefox und Operadie etwas weniger strenge Sicherheitskontrollen als Chrome und Edge aufwiesen. In diesem Fall bestand der Unterschied in der Verwendung von SteganographieDie Angreifer versteckten bösartigen JavaScript-Code in PNG-Bilddateien, wodurch sie ferngesteuerte Anweisungen ausführen und neue Malware-Module herunterladen konnten, ohne Verdacht zu erregen.
Eines der eindrucksvollsten Beispiele war das Klonen einer Erweiterung von Google Translate für OperaDas Tool schien auf den ersten Blick legitim zu sein. Im Hintergrund installierte es jedoch mithilfe von … eine Hintertür. iframe Im Verborgenen deaktivierte es die Betrugsschutzfunktionen des Browsers und stellte eine Verbindung zu Servern her, die zuvor mit anderen DarkSpectre-Operationen in Verbindung standen, wodurch ein permanenter Zugriffskanal zum System des Opfers geschaffen wurde.
Zoom-Dieb: Der Sprung zur Spionage in Firmenvideokonferenzen
Die dritte Phase des Angriffs, die als Zoom-Dieb, machte einen qualitativen Sprung, indem es sich vollständig auf die GeschäftsumfeldBis Ende 2025 haben Forscher mindestens 18 spezifische Erweiterungen ausgerichtet auf Videokonferenzplattformen wie Zoom, Microsoft Teams und Google Meet, mit geschätzten Auswirkungen auf 2,2 Millionen Nutzer.
Diese Erweiterungen wurden als ideale Ergänzung für Telearbeit und Fernbesprechungen beworben: Sie versprachen Videos zusammenfassen, interessante Links speichern, Teilnehmerlisten erstellen oder eine automatische Zusammenfassung jeder Sitzung erstellen. Ein sehr attraktives Profil für spanische und europäische Unternehmen, die in den letzten Jahren hybrides und ortsunabhängiges Arbeiten etabliert haben.
Nach ihrer Installation begannen die Werkzeuge zu funktionieren. kritische Informationen abfangen Aus Videokonferenzen: Zugangslinks, Meeting-IDs, Gastpasswörter und in einigen Fällen geteilte Inhalte oder Metadaten zu Präsentationen und Dokumenten, die während der Sitzungen besprochen wurden.
Mithilfe dieser Daten konnten die Angreifer auf private Besprechungen, viele davon auf höchster Ebene, zugreifen und Sammlungen von Informationen anlegen. professionelle und wirtschaftliche Intelligenz mit enormer strategischer Bedeutung. Laut den befragten Quellen wurde die interne Kommunikation bezüglich Geschäftsplänen, Investitionsvereinbarungen, Marktstrategien und anderen Angelegenheiten, die für die Wettbewerbsfähigkeit der beteiligten Unternehmen von hoher Bedeutung sind, beeinträchtigt.
Parallel dazu nutzte Zoom Stealer die weitreichenden Berechtigungen, die Erweiterungen gewährt wurden, um Folgendes durchzuführen: Echtzeit-Abfluss von ZugangsdatenDies umfasste Anmeldeinformationen für Unternehmen, Zugriffsschlüssel für Cloud-Tools und berufliche Profile, die dann für gezielte Angriffe wiederverwendet werden konnten, wie zum Beispiel für hochgradig individualisierte Phishing-Kampagnen gegen Mitarbeiter europäischer Organisationen.
Auswirkungen auf Nutzer und Unternehmen in Europa und Spanien
Der Fall DarkSpectre hat das Ausmaß verdeutlicht, in dem die vertrauenswürdige Kette von Haarverlängerungsgeschäften Dies könnte eine Sicherheitslücke für Bürger und Organisationen darstellen. Obwohl der Angriff globale Auswirkungen hatte, beobachten europäische Behörden und Krisenreaktionsteams in mehreren Ländern, darunter Spanien, die Folgen für die Nutzer vor Ort genau.
Für einzelne Nutzer bedeuten die Folgen Folgendes: verdeckte Überwachung seiner Online-AktivitätMöglicher Identitätsdiebstahl, unautorisierte Abbuchungen bei Online-Käufen und das Durchsickern persönlicher Daten, die in geheimen Foren landen könnten. Viele Betroffene werden gar nicht merken, dass sie ins Visier genommen wurden, da die meisten Erweiterungen scheinbar normal funktionierten.
Im Unternehmensbereich ist der Schlag noch gravierender. Europäische Unternehmen, die einen Großteil ihrer Geschäftstätigkeit auf Cloud-Tools und Videokonferenzen stützen, stehen vor großen Herausforderungen. Risiken der IndustriespionageDurchgesickerte strategische Vereinbarungen und die Offenlegung vertraulicher Informationen über Kunden, Lieferanten und Partner. Darüber hinaus können Unternehmen gemäß Vorschriften wie dem [Gesetz/der Verordnung/etc.] verpflichtet sein, Sicherheitsvorfälle zu melden. Allgemeine Verordnung zum Datenschutz (RGPD)unter Berücksichtigung von Reputationskosten und möglichen Sanktionen.
Vorläufige Berichte deuten darauf hin, dass das kriminelle Netzwerk möglicherweise authentische Dokumente erstellt hat. Unternehmensdatenlager Diese Informationen stammen aus privaten Gesprächen, in Besprechungen ausgetauschten Dokumenten und unbefugtem Zugriff auf Intranets oder interne Dienste. Sie sind äußerst wertvoll für den Verkauf auf dem Schwarzmarkt sowie für Erpressungskampagnen oder unlauteren Wettbewerb.
Europäische Behörden arbeiten mit Technologieanbietern zusammen, um die Erkennungssysteme in Haarverlängerungsgeschäften zu verbessern und die Kontrollen über die Verwendung personenbezogener Daten zu verstärken. Experten weisen jedoch darauf hin, dass Kein automatisiertes System ist unfehlbar. und dass die letzte Verteidigungslinie der Benutzer und seine Sicherheitsgewohnheiten bleiben.
Wie Sie sich nach dem massiven Cyberangriff auf Chrome und Edge schützen können
Angesichts eines derart langwierigen und komplexen Szenarios empfehlen Cybersicherheitsexperten eine Reihe von Sofortmaßnahmen. die Auswirkungen reduzieren des Angriffs und weitere Infektionen zu verhindern, insbesondere bei Chrome- und Edge-Nutzern in Spanien und dem übrigen Europa.
Der erste Schritt besteht darin, eine vollständige Prüfung der Erweiterungen Diese Add-ons sind in allen Browsern vorinstalliert. Es empfiehlt sich, sie einzeln zu überprüfen und alle Add-ons zu deinstallieren, die nicht erkannt werden, nicht regelmäßig genutzt werden oder nicht von einem vertrauenswürdigen Entwickler stammen. Im Zweifelsfall sollten Sie die Add-ons nur von der offiziellen Website des Anbieters entfernen und gegebenenfalls neu installieren.
Es ist außerdem unerlässlich zu überprüfen, ob der Browser auf die neueste verfügbare Version aktualisiertSowohl Google als auch Microsoft haben Patches integriert, um einige der von DarkSpectre verwendeten Techniken zu blockieren. Die neuesten Versionen enthalten daher spezifische Verbesserungen bei der Erkennung verdächtigen Verhaltens und bei der Verwaltung von Erweiterungsberechtigungen.
Bezüglich Online-Konten wird empfohlen, die Passwörter für kritische Dienste (E-Mail, Online-Banking, soziale Medien, Firmen-Tools) sollten Sie überprüfen, wenn der Verdacht besteht, eine kompromittierte Erweiterung verwendet zu haben. Nutzen Sie diese Gelegenheit, um für jeden Dienst ein individuelles und sicheres Passwort zu verwenden, idealerweise mithilfe eines Passwort-Managers.
Darüber hinaus bestehen Fachleute auf der Aktivierung der Zwei-Faktor-Authentifizierung (2FA) Wann immer möglich. Dieser Mechanismus bietet eine zusätzliche Schutzebene, sodass es selbst bei einem Angreifer, der ein Passwort erlangt, deutlich schwieriger wird, ohne den temporären Code oder das zweite Verifizierungselement auf das Konto zuzugreifen.
Abschließend wird Organisationen, die stark auf Plattformen wie Zoom, Teams oder Google Meet angewiesen sind, die Implementierung empfohlen. regelmäßige Überprüfungen der installierten Erweiterungen in Unternehmensbrowsern Sicherheitsrichtlinien implementieren die die Installation nicht autorisierter Add-ons einschränken und Mitarbeiter darin schulen, potenzielle Betrugsversuche sowohl in Erweiterungen als auch in E-Mails oder Links, die ähnliche Kampagnen begleiten können, zu erkennen.
Alles, was über DarkSpectre und seine ShadyPanda-, GhostPoster- und Zoom Stealer-Kampagnen bekannt wurde, spiegelt das Ausmaß wider, in dem Browsererweiterungen sind zu einem vorrangigen Ziel geworden Für Cyberkriminelle hat die Kombination aus Vertrauen in offizielle Stores, nützlichen Funktionen und manipulierten Bewertungen es ihnen ermöglicht, jahrelang unbemerkt Angriffe durchzuführen und damit massive Auswirkungen auf einzelne Nutzer und Unternehmen zu erzielen. Dies zwingt uns, unser Vorgehen bei der Installation und Verwaltung solcher Add-ons in unserem digitalen Alltag zu überdenken.
