Umgangssprachlich als „Malvertising“ bekannt, erweist sich ChromeLoader als eine Kampagne, die Teil eines größeren und weit verbreiteten, finanziell motivierten Musters ist. Die Angreifer sind wahrscheinlich Teil eines größeren Netzwerks von Marketing-Partnern und sollen den Benutzer auf Werbeseiten umleiten. Der Browser Hijacker unterscheidet sich von anderen Malvertising-Kampagnen dadurch, dass er sich selbst in den Browser einschleust und ihm mit Hilfe der PowerShell eine bösartige Erweiterung hinzufügt – eine Technik, die nicht sehr häufig verwendet wird und daher von vielen Sicherheitstools unerkannt bleibt. Die aktuell entdeckte Kampagne zielt auf macOS-Systeme ab, um Safari und Chrome zu infizieren.
Verbreitungsweg und Infektion
Die Malware-Betreiber verwenden eine bösartige ISO-Archivdatei, um in das System einzudringen. Loader werden zunehmend als Angriffsvektor verwendet, insbesondere von ISO-Dateien. Diese Datei wird als gecrackte ausführbare Datei für kommerzielle Software oder ein Videospiel beworben, so dass die Opfer sie über bösartige Websites oder Torrents herunterladen können. Darüber hinaus verbreiten die Malware-Autoren die infizierte ausführbare Datei auch über Twitter-Nachrichten.
Die Datei wird als virtuelles CD-ROM-Laufwerk gemountet, wenn ein Benutzer sie in Windows 10 oder späteren Systemen doppelt anklickt. Die Hauptkomponente in dieser ISO-Datei, CS Installer.exe, tarnt sich als Keygen oder Spiele-Crack, löst aber die Infektion aus. Die Malware führt dann einen PowerShell-Befehl aus und dekodiert ihn, um ein Archiv von der Remote-Ressource abzurufen. Der Loader installiert es danach als Chrome-Erweiterung auf dem System. Anschließend löscht PowerShell den geplanten Task und infiziert Chrome mit einem versteckten Plugin, das die Ergebnisse des Browsers entführt und manipuliert.
Schutzmaßnahmen
Viele Websites, die als legitime Crack-Websites getarnte Malware anbieten, sind schwer zu erkennen. Es ist ratsam, ISO-Dateien auf die Liste der Objekte zu setzen, die im Unternehmen nicht heruntergeladen werden dürfen, denn es ist eher unwahrscheinlich, dass Mitarbeiter mit ISO-Dateien in Berührung kommen. Sie sollten also für den Download geblockt werden.
Eine Infektion mit Loadern kann vermieden werden, indem Unternehmen ihre IT-Sicherheitssoftware auf dem neuesten Stand halten und regelmäßige Scans durchführen. Aufgrund der lockeren Richtlinien im Chrome-Webstore ist es zu Vorfällen gekommen, bei denen schadhafte Erweiterungen zum Download bereitstanden. Bevor also eine neue Erweiterung für den Browser installiert wird, sollten immer die Bewertungen der Nutzer, die Informationen über die Entwickler, die Berechtigungen der Erweiterung und alles andere Wichtige überprüft werden.
Logpoint hat eine Liste von Warnmeldungen zusammengestellt, die hier zum Herunterladen zur Verfügung stehen.
Quelle: kafka Kommunikation
Weitere Informationen zum Thema Verschlüsselung und Datensicherheit finden Sie hier.
