Wie 119 bösartige Erweiterungen den Edge Add-ons Store in ein Aufmarschgebiet verwandelten

Eine Standard-Browser-Erweiterung ist ein kleines Vertrauenspaket. Benutzer installieren Werbeblocker und VPNs in der Erwartung, dass diese Tools für sie arbeiten und nicht gegen sie. Microsoft hat vor Kurzem eine massive Operation zerschlagen, die dieses Verhältnis umkehrte. Die Kampagne mit dem Namen StegoAd umfasste 119 bösartige Erweiterungen im Microsoft Edge Add-ons Store. Diese Erweiterungen blieben jahrelang aktiv und erreichten eine kombinierte Installationsbasis von 2,6 Millionen Benutzern. Die Operation ist ein Lehrstück in Sachen Verschleierung und nutzt Steganographie, um bösartige Payloads in genau den Dateien zu verstecken, die dafür sorgen, dass das Web korrekt aussieht und funktioniert.

Aus Risikoperspektive ist das Ausmaß der Exposition erheblich. Während Microsoft anmerkt, dass 2,6 Millionen eine Obergrenze und keine bestätigte Opferzahl darstellt, deutet die architektonische Raffinesse von StegoAd auf eine professionelle Planung hin. Die Erweiterungen hielten genau das, was sie versprachen. Sie blockierten Werbung, übersetzten Texte und luden Videos herunter. Sie erhielten positive Bewertungen. Hinter den Kulissen warteten sie jedoch auf eine bestimmte Reihe von Bedingungen, um einen sekundären, bösartigen Lebenszyklus auszulösen. Dies war ein geduldiger Angriff, der darauf ausgelegt war, die automatisierten Scanner zu umgehen, die moderne Browser-Ökosysteme schützen.

Die Architektur einer schleichenden Infektion

Die Rückverfolgung der Angriffskette offenbart einen methodischen Ansatz zur Inaktivität. Der StegoAd-Akteur verstand, dass sofortige bösartige Aktivitäten ein Todesurteil für eine Browser-Erweiterung sind. Die meisten der 119 Erweiterungen blieben nach der Installation mehrere Tage lang harmlos. Diese Verzögerung ist eine gängige Taktik, aber der Akteur ging noch weiter. Er implementierte einen Stapel von Umgehungsprüfungen, um sicherzustellen, dass die Erweiterung nur auf dem Rechner eines echten Benutzers aktiv wurde.

Eine Prüfung suchte nach dem Vorhandensein von Browser-DevTools. Wenn ein Analyst den Inspektor öffnete, um zu sehen, was die Erweiterung tat, bemerkte der Code die Änderung und verlängerte seine Ruhephase. Dies verbarg das Verhalten effektiv vor jedem, der danach suchte. Proaktiv gesehen nutzte der Akteur bei bestimmten Varianten auch eine 10-prozentige Ausführungsschranke. Das bedeutet, dass nur bei jeder zehnten Installation tatsächlich die Payload ausgelöst wurde. Für einen Sicherheitsforscher, der versucht, einen gemeldeten Fehler zu reproduzieren, würde die Malware schlichtweg nicht erscheinen.

Diese selektive Ausführung machte die Nutzerbasis zu einem massiven, dezentralen Testfeld. Der Akteur konnte seine Skripte und Exfiltrationsmethoden an einer kleinen Untergruppe von Benutzern verfeinern, während die anderen 90 % einen Schutzschild aus legitimer Aktivität und hohen Bewertungen boten. Die Erweiterungen migrierten sogar von Manifest V2 zu Manifest V3, während sich die Chromium-Plattform weiterentwickelte. Dies zeigt ein langfristiges Engagement für die Aufrechterhaltung des Zugangs zur Edge-Nutzerbasis.

Wie Steganographie Icons in Waffen verwandelte

Der Kern der Kampagne ist Steganographie, die Praxis, Daten in anderen Daten zu verstecken. Der Akteur nutzte Bilder und Schriftartendateien als Träger für seine JavaScript-Payloads. In den frühesten Version von StegoAd wurde die Malware hinter dem IEND-Marker eines PNG-Icons angehängt. Dieser Marker teilt einem Bildbetrachter mit, dass die Datei zu Ende ist. Alles nach diesem Marker wird vom Renderer ignoriert, bleibt aber für ein Skript zugänglich. Für einen statischen Scanner sieht die Datei wie ein gültiges, harmloses Icon aus.

Als sich die Erkennungstools verbesserten, passte sich der Bedrohungsakteur an. Er verlagerte seine Payloads in WebP-Bilder und WOFF2-Schriftartendateien. WOFF2-Dateien sind komprimierte Web-Schriftarten, die Glyphenbereiche und Metadaten enthalten. Der Akteur versteckte Code innerhalb dieser Bereiche, wodurch die Payload wie asiatischer Text oder Schriftmetriken aussah. Microsoft beschreibt Steganographie in diesem Ausmaß als selten im Bereich der Browser-Erweiterungen. Es ist eine aufwendige Technik, die erfordert, dass der Angreifer Mediendateien manuell erstellt oder modifiziert, um sicherzustellen, dass sie weiterhin funktionieren, während sie einen verschlüsselten blinden Passagier transportieren.

In einigen besonders folgenschweren Varianten war die Payload nicht einmal in den lokalen Erweiterungsdateien vorhanden. Die Erweiterung rief ein normal aussehendes Bild von einem Command-and-Control-Server ab. Nach dem Herunterladen dekodierte die Erweiterung das Bild durch mehrere Schichten von Groß-/Kleinschreibungs-Swaps, Ziffern-Swaps, Base64-Kodierung und XOR-Operationen. Anschließend verifizierte sie das resultierende Skript vor der Ausführung gegen eine digitale Signatur. Dieser Prozess stellt sicher, dass die bösartige Logik niemals in einem lesbaren Format auf der Festplatte gespeichert wird.

Schutz der Command-and-Control-Infrastruktur

Die Backend-Infrastruktur für StegoAd war ebenso widerstandsfähig wie die Frontend-Erweiterungen. Der Akteur nutzte mehr als zehn Command-and-Control-Domains mit automatischen Failover-Funktionen. Wenn eine Domain blockiert oder abgeschaltet wurde, kontaktierten die Erweiterungen automatisch ein Backup. Um ihren Datenverkehr weiter zu verbergen, leiteten die Betreiber ihre Anfragen über Cloudflare Workers um. Dadurch sah der bösartige Datenverkehr wie legitime API-Aufrufe an einen seriösen Cloud-Anbieter aus.

Eine serverseitige Validierung fungierte an jeder Tür wie ein Türsteher in einem VIP-Club. Wenn eine Erweiterung eine Payload anforderte, prüfte der Server den Fingerabdruck des Browsers und den User-Agent-String. Wenn die Anfrage aus einer bekannten Forschungsumgebung oder einer automatisierten Sandbox stammte, gab der Server eine leere Lockvogel-Antwort zurück. Ich habe dieses Maß an Paranoia bei Advanced Persistent Threat-Akteuren gesehen, aber bei Adware-Kampagnen ist es weniger üblich. Dies deutet darauf hin, dass der Betreiber hoch motiviert war, sein Toolkit vor Entdeckung zu schützen.

GitHub Pages war ein weiteres Werkzeug im Kit des Akteurs. Sie nutzten die Plattform zum Hosten von Beacons und boten so eine zuverlässige und vertrauenswürdige Domain, auf der die Erweiterungen nach Updates suchen konnten. Durch den Missbrauch legitimer Infrastruktur stellten die StegoAd-Betreiber sicher, dass ihr Datenverkehr im Hintergrundrauschen eines typischen Unternehmens- oder Heimnetzwerks unterging. Die Erkennung dieses Datenverkehrs erfordert mehr als nur eine Liste bösartiger IPs; sie erfordert eine Verhaltensanalyse der Art und Weise, wie eine Erweiterung mit dem Web interagiert.

Anzeigenbetrug als Tarnung für Datenexfiltration

Der sichtbarste Teil der StegoAd-Infektion war Anzeigenbetrug. Die Erweiterungen schleusten Werbung in Webseiten ein, kaperten Affiliate-Provisionen auf Websites wie Amazon und eBay und leiteten Suchanfragen um. Dies ist der laute Teil der Malware, der darauf ausgelegt ist, sofortige Einnahmen zu generieren. Die von Microsoft durchgeführte technische Post-Mortem-Analyse enthüllte jedoch eine viel dunklere Reihe von Fähigkeiten, die unter der Oberfläche verborgen waren.

Das Abrufen der Payloads zeigte, dass der Akteur über Funktionen zur Remote-Code-Ausführung (RCE) verfügte. Er konnte beliebiges JavaScript vom Server an jeden infizierten Browser pushen. Dies ermöglichte es ihm, Google-Anmeldedaten und Codes für die Zwei-Faktor-Authentifizierung während des Login-Prozesses abzugreifen. Er zielte auch auf WordPress-Admin-Logins ab und exfiltrierte Cookies in großen Mengen. Aus architektonischer Sicht sind Session-Cookies ein hochgefährliches Gut, wenn sie in die falschen Hände geraten. Ein Angreifer mit einem frischen Session-Cookie kann die MFA vollständig umgehen und direkt in das Konto eines Benutzers spazieren.

Die Telemetrie für die Kampagne wurde über sieben Google Analytics-Tracking-IDs verwaltet. Dies verschaffte dem Betreiber ein Echtzeit-Dashboard über seine Fortschritte unter Nutzung von Googles eigener Analyse-Infrastruktur. Er konnte sehen, welche Erweiterungen gut abschnitten, in welchen Ländern die meisten aktiven Installationen vorhanden waren und wo seine Payloads erfolgreich ausgelöst wurden. Das Niveau der operativen Intelligenz ist hier professionell und deutet auf ein rationalisiertes Geschäftsmodell hin.

Die chinesische Verbindung und DarkSpectre

Microsoft hat den Akteur hinter StegoAd nicht offiziell benannt, aber die technischen Indikatoren deuten auf einen bekannten Aktivitätscluster hin. Die Payload zum Diebstahl von Anmeldedaten exfiltriert Daten an eine Domain namens mitarchive.info. Sicherheitsforscher haben diese Domain zuvor mit einer chinesischen Operation namens DarkSpectre in Verbindung gebracht. Diese Gruppe wird auch mit den Kampagnen ShadyPanda und GhostPoster assoziiert, die ähnliche Taktiken zur Verbreitung bösartiger Erweiterungen anwandten.

Die Überschneidung ist mehr als nur eine einzelne Domain. StegoAd nutzte exakt dieselbe Methode zum Verstecken von Code im eigenen Icon der Erweiterung, die GhostPoster Monate zuvor verwendet hatte. Sie teilten sogar die gleichen Benennungskonventionen für ihre Erweiterungen, wie zum Beispiel Ads Block Ultimate. Dies deutet darauf hin, dass StegoAd die neueste Evolution einer langjährigen chinesischen Operation ist, die das Ökosystem der Browser-Erweiterungen als primäres Einsatzgebiet betrachtet. Die Betreiber sind agil und ziehen von einer Plattform zur nächsten, sobald die Verteidiger aufschließen.

Bewertung der Angriffsfläche und Ergreifen von Maßnahmen

Microsoft hat alle 119 Erweiterungen entfernt und die Entwicklerkonten gesperrt, aber die Gefahr besteht für Benutzer fort, die diese Tools noch installiert haben. Da einige dieser Erweiterungen hochfunktional waren, merken Benutzer möglicherweise nicht einmal, dass sie kompromittiert sind. Wenn Sie Edge verwenden, ist Ihr erster Schritt, edge://extensions zu besuchen und Ihre Liste zu überprüfen. Vergleichen Sie Ihre installierten IDs mit der Liste im technischen Bericht von Microsoft.

Im Falle einer Übereinstimmung ist die Browser-Umgebung kompromittiert. Das Entfernen der Erweiterung ist nur der erste Schritt. Sie müssen davon ausgehen, dass Ihre Session-Cookies und Anmeldedaten in den Händen der DarkSpectre-Gruppe sind. Ändern Sie Ihre Passwörter für hochwertige Konten, einschließlich Google, Ihrer Bank und aller arbeitsbezogenen Portale wie WordPress. Überprüfen Sie Ihre letzten Anmeldeaktivitäten auf unbekannte Standorte oder Geräte.

Mit Blick auf die Bedrohungslandschaft unterstreicht dieser Vorfall das Versagen der traditionellen Überprüfung von Erweiterungen. Statische Analysen reichen nicht mehr aus, um Akteure zu fassen, die Steganographie und serverseitige Validierung nutzen. Proaktiv gesehen ist die beste Verteidigung ein schlanker Browser. Installieren Sie nur Erweiterungen, die absolut notwendig sind und von verifizierten, seriösen Entwicklern stammen. Verwenden Sie Hardware-Sicherheitsschlüssel für MFA, wo immer dies möglich ist. Im Gegensatz zu SMS-Codes oder Push-Benachrichtigungen erfordert ein Hardwareschlüssel eine physische Interaktion, die ein erweiterungsbasiertes Skript nicht einfach replizieren kann.

Wichtige Erkenntnisse für die Browsersicherheit

• Überprüfen Sie Ihre Erweiterungen: Kontrollieren Sie regelmäßig edge://extensions oder chrome://extensions und entfernen Sie alles, was Sie nicht benutzen.
• Achten Sie auf Verzögerungen: Seien Sie misstrauisch gegenüber Erweiterungen, die plötzlich ihr Verhalten ändern oder Tage nach der Installation neue Berechtigungen anfordern.
• Überprüfen Sie den Entwickler: Bösartige Akteure verwenden oft generische Namen oder ahmen beliebte Tools nach. Prüfen Sie die Historie und Website des Entwicklers.
• Nutzen Sie Hardware-MFA: Physische Sicherheitsschlüssel sind die widerstandsfähigste Verteidigung gegen die Art von Diebstahl von Anmeldedaten und Sitzungen, wie sie bei StegoAd beobachtet wurde.
• Überwachen Sie Anmeldungen: Überprüfen Sie die Sicherheits-Dashboards Ihrer wichtigsten Konten auf Sitzungen, die nicht existieren sollten.

Quellen: Microsoft Security Blog, NIST SP 800-53 (Control Assessment), MITRE ATT&CK (T1027.003 - Steganography), Koi Security Research Reports.

Haftungsausschluss: Dieser Artikel dient nur zu Informations- und Bildungszwecken und ersetzt keine professionelle Cybersicherheitsprüfung oder einen Incident-Response-Service.