Die bösartigen Browser-Extensions werden demnach zwar nicht mehr verbreitet, aber Unternehmen mit infizierten Rechnern sind weiterhin gefährdet: „Auch wenn die Erweiterungen kürzlich aus den Marktplätzen entfernt wurden, bleibt die Infrastruktur für groß angelegte Angriffe auf allen infizierten Browsern weiterhin vorhanden“, so Admoni.
Mehrjährige Kampagne mit wechselnden Motiven
Die Analyse von Koi zeigt, dass ShadyPanda über mehrere Jahre hinweg eine generationenübergreifende Infrastruktur von Browser-Erweiterungen unterhielt, die bis ins Jahr 2017 zurückreicht. Die Gruppe nutzte Dutzende von Erweiterungen, von denen 20 im Chrome Web Store veröffentlicht und 125 für Edge vertrieben wurden.
Die frühesten Erweiterungen zielten auf Affiliate-Betrug ab, bei dem versteckte Provisionen für Online-Käufe der Opfer abgezogen wurden. Später verlagerte sich der Schwerpunkt auf die Manipulation von Suchergebnissen. Zuletzt ermöglichten sie ein ausgefeiltes Tracking des Nutzerverhaltens, sammelten Sitzungsdaten, überwachten Browser-Fingerabdrücken und installierten eine Backdoor, die die Ausführung von Remote-Code (RCE) unterstützte.
