Sieben Jahre unentdeckt: Wie die Hackergruppe DarkSpectre Millionen Browser mit getarnten Erweiterungen infizierte

VonJörn Schmidt
Hacker am PC
Foto von Clint Patterson auf Unsplash

Eine neue Analyse zeigt das Ausmaß einer langjährigen Cyberkampagne, die Millionen Internetnutzer betroffen hat. Die chinesische Gruppe DarkSpectre infizierte über einen Zeitraum von sieben Jahren mehr als 8,8 Millionen Anwender von Chrome, Edge und Firefox. Sicherheitsforscher des Unternehmens Koi fanden heraus, dass die Angreifer mehrere parallel laufende Operationen betrieben, die sowohl auf Datendiebstahl als auch auf Betrugsaktivitäten abzielten.

Zu den größten bekannten Angriffswellen zählen ShadyPanda mit rund 5,6 Millionen Betroffenen, Zoom Stealer mit etwa 2,2 Millionen Opfern und GhostPoster mit über einer Million infizierten Nutzern. Die Gruppe setzte auf eine besonders schwer erkennbare Methode. Sie platzierte manipulierte Browser‑Erweiterungen, die über Jahre unauffällig wirkten und erst später versteckte Schadfunktionen aktivierten. Dadurch blieben die Angriffe lange unentdeckt.

Um die Tarnung zu perfektionieren, nutzten die Täter Erweiterungen, die scheinbar harmlose Dienste wie Wetteranzeigen boten. Insgesamt wurden mehr als hundert verknüpfte Add‑ons in verschiedenen Stores gefunden. Zusätzlich versteckte DarkSpectre Teile der Malware in Bilddateien, aus denen JavaScript nachgeladen wurde. Die Aktivierung erfolgte zeitverzögert und nur bei einem kleinen Teil der Seitenaufrufe, was die Entdeckung weiter erschwerte.

Besonders kritisch ist die vollständige Kontrolle, die die Gruppe über die infizierten Erweiterungen behielt. Schadcode konnte jederzeit von einem externen Server nachgeladen oder verändert werden, ohne dass ein Update über den jeweiligen Store nötig war. Damit umging DarkSpectre zentrale Sicherheitsmechanismen der Browseranbieter.

Die Enthüllungen zeigen, wie gefährlich scheinbar harmlose Erweiterungen sein können und wie geduldig moderne Cyberkriminelle vorgehen. Die Forscher warnen zudem, dass Angreifer künftig verstärkt KI‑Werkzeuge nutzen könnten, um Schadsoftware noch effizienter zu verbreiten.


Links mit einem * sind Partner-Links. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalte ich eine kleine Provision. Für euch ändert sich am Preis nichts. Danke für eure Unterstützung!

Jörn Schmidt Profilbild

Android-Fan seit 2010, Outdoor- & Skandinavien-Fan, Kino-Freak und derzeitiger User eines Google Pixel 9 Pro XL mit Android 16

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert