DarkSpectre: Millionen Nutzer durch bösartige Browser-Add-ons ausgespäht

Sicherheitsforscher decken massive Cyberattacke auf, bei der Millionen Nutzer über infizierte Browser-Erweiterungen ausgespäht wurden. Die Kampagne zielte auch auf Unternehmen und mobile Geräte ab.

Eine Hackergruppe hat weltweit rund 8,8 Millionen Nutzer über schädliche Browser-Erweiterungen ausspioniert. Sicherheitsforscher von Koi Security deckten die massive Kampagne der als “DarkSpectre” bekannten Gruppe auf. Die Angreifer nutzten scheinbar harmlose Add-ons für Chrome, Edge und Firefox – und machten auch vor mobilen Geräten nicht halt.

Schläfer-Taktik mit tödlicher Wirkung

Das Vorgehen der mutmaßlich aus China operierenden Hacker zeugt von Geduld. Sie veröffentlichten zunächst funktionierende und nützliche Erweiterungen wie Werbeblocker oder Übersetzungstools. Diese sammelten über Monate oder Jahre positive Bewertungen und bauten eine große Nutzerbasis auf.

Erst später schleusten die Angreifer mit Updates den eigentlichen Spionage-Code nach. Die Erweiterungen warteten oft Tage, bevor sie Kontakt zu ihren Kommandoservern aufnahmen. Diese “Schläfer-Taktik” ließ Sicherheitsprüfungen der App-Stores ins Leere laufen.

Browser‑Erweiterungen sind längst keine harmlosen Helfer mehr – sie werden zunehmend zu Einfallstoren für ausgeklügelte Spionage. Ein kostenloser Cyber‑Security‑Report erklärt, wie Sie verdächtige Add‑ons erkennen, welche Einstellungen sofort schützen und welche Sofortmaßnahmen Unternehmen ergreifen sollten, um Datendiebstahl und Kontoübernahmen zu verhindern. Praktische Checklisten und eine aktuelle Bedrohungsübersicht helfen beim schnellen Vorgehen. Jetzt kostenlosen Cyber-Security-Guide herunterladen

Laut Analyse vereint DarkSpectre drei bisher getrennte Malware-Kampagnen:
* ShadyPanda
* GhostPoster
* The Zoom Stealer

Das Smartphone als perfektes Spionageziel

Besonders alarmierend: Die Infektion erreichte auch Smartphones. Nutzer von Android-Browsern wie Kiwi oder Yandex, die Desktop-Erweiterungen installieren können, waren gefährdet. Eine spezifische Erweiterung namens “Infinity New Tab for Mobile” wurde als Teil der Infektionskette identifiziert.

Da Smartphones permanent online sind und sensible Konten speichern, ist der potenzielle Schaden hier enorm. Die Malware konnte Browserverläufe auslesen, Cookies stehlen und Suchanfragen manipulieren. Gestohlene Cookies ermöglichen es Angreifern sogar, Zwei-Faktor-Authentifizierungen zu umgehen.

Gezielte Wirtschaftsspionage via Zoom & Co.

Ein brisanter Teil der Kampagne zielte direkt auf Unternehmen ab. Unter dem Namen “The Zoom Stealer” tarnten sich Erweiterungen als nützliche Meeting-Tools für Zoom, Microsoft Teams und Google Meet.

Diese Add-ons griffen systematisch vertrauliche Daten ab:
* Meeting-URLs und Passwörter
* Teilnehmerlisten und Zeitpläne
* Zugangsdaten

App-Stores an ihren Grenzen

Der Fall DarkSpectre offenbart die Schwächen der streng kontrollierten Extension-Stores. Obwohl Google und Microsoft Prüfprozesse haben, konnten die Angreifer diese über Jahre austricksen. Die Masse an Updates macht eine lückenlose manuelle Kontrolle unmöglich.

Hinzu kommt: DarkSpectre missbrauchte legitime Domains für die Steuerung der Malware. Das erschwerte die Entdeckung durch automatisierte Sicherheitssysteme erheblich. Der Browser ist zum eigenen “Betriebssystem im Betriebssystem” geworden – und benötigt eigene Sicherheitsstrategien.

Was Nutzer jetzt tun sollten

Google und Microsoft haben begonnen, die identifizierten Erweiterungen aus ihren Stores zu entfernen und remote auf Nutzergeräten zu deaktivieren. Dennoch ist die Gefahr nicht gebannt.

Experten raten dringend zu diesen Schritten:
* Installierte Erweiterungen kritisch prüfen
* Ungenutzte oder verdächtige Add-ons sofort entfernen
* Auf Herkunft und Entwickler achten

Für Unternehmen wird der Fall eine Neubewertung von BYOD-Richtlinien und Add-on-Nutzung erzwingen. Die Diskussion, ob mobile Browser Erweiterungen überhaupt unterstützen sollten, dürfte neu entfachen – ein Konflikt zwischen Sicherheit und Nutzerfreiheit. Die vollständige Aufarbeitung des Schadens wird noch Monate dauern.

PS: Schutz vor Spionage‑Add‑ons muss nicht teuer oder kompliziert sein. Dieser Gratis‑Leitfaden zeigt praxisnahe Maßnahmen, wie kleine Teams ohne zusätzliche Personalressourcen ihre IT‑Sicherheit deutlich verbessern können – von Richtlinien für Browser‑Erweiterungen bis zu Schulungschecklisten für Mitarbeiter. Ideal für IT‑Verantwortliche und Geschäftsführer, die Angriffe wie DarkSpectre stoppen wollen. Gratis Cyber-Security-Leitfaden sichern