von Nilaa Maharjan, LogPoint Global Services & Security Research

Dieser Blog-Beitrag verschafft Ihnen einen Überblick über die Untersuchungen zu einer aktuell wachsenden Bedrohung – Malvertizer, insbesondere ChromeLoader. Im Rahmen dieses Blog-Beitrags bieten wir Ihnen den „LogPoint Emerging Threats Protection Report“ an, der sich mit Erkennungsmethoden, Investigation-Playbooks, empfohlenen Reaktionsmaßnahmen sowie Best Practices befasst. Obgleich diese Fallstudie nicht spezifisch auf Chrome oder andere Varianten, die aktuell im Umlauf sind, zugeschnitten ist, handelt es sich dennoch um Methoden, diese sehr reale Bedrohung, die in den vergangenen Wochen verstärkt aufgetreten ist, zu bewältigen.

Bei dieser Malware mit dem Namen ChromeLoader handelt es sich um einen hartnäckigen Browser-Hijacker, der die Browser-Einstellungen der Betroffenen ändert und den Datenverkehr auf Werbe-Websites umleitet. Diese Malware wird über eine ISO-Datei verbreitet, die vorgibt, ein gecracktes Videospiel, ein raubkopierter Film oder eine Fernsehsendung zu sein, um die Nutzer dazu zu verleiten, diese auszuführen. Die Malware nimmt schließlich die Form eines Browser-Add-ons an.

Neue Angriffsvektoren sind auf dem Vormarsch und versuchen verstärkt, sich von jeglichen Systemabhängigkeiten zu lösen. Aufgrund der Marktdominanz sowie der lockeren Erweiterungsrichtlinien ist Chrome das neue Ziel.

ChromeLoader ist eine relativ harmlose Browser-Erweiterung, die Suchanfragen von Benutzern sowie den Datenverkehr an eine Werbe-Website weiterleitet, ähnlich wie die meisten verdächtigen Browser-Erweiterungen. Üblicherweise als „Malvertising“ bezeichnet, erweist sich ChromeLoader als eine Malware-Kampagne, die Teil eines größeren, weit verbreiteten und finanziell motivierten Angriffsmusters ist. Wir können davon ausgehen, dass die Angreifer Teil eines größeren Verbreitungsnetzwerks sind und die Nutzer auf Werbe-Websites umleiten. ChromeLoader unterscheidet sich von anderen Malvertising-Kampagnen dadurch, dass die Malware sich in den Browser einschleust und mithilfe von PowerShell schadhafte Add-ons hinzufügt. Dies ist eine Technik, die bisher nicht sehr häufig verwendet wurde und daher von vielen Sicherheitslösungen unentdeckt bleibt. ChromeLoader ist eher ein Ärgernis als eine ernstzunehmende Bedrohung und mag wie ein gewöhnlicher Browser-Hijacker erscheinen, aber die spezielle Nutzung der PowerShell könnte zu tiefgreifenden Problemen führen – dieser Meinung ist zumindest Aedan Russell, Security Researcher bei Red Canary.

Das Angriffsszenario

Die Malware-Betreiber nutzen eine schadhafte ISO-Archivdatei, um in das System einzudringen – ähnlich dem bereits bekannten Malware-Loader Bumblebee, über den wir bereits berichtet hatten. Dies belegt die zunehmende Verwendung von Loadern als Angriffsvektor, insbesondere ISO. Diese Datei wird als gecrackte, ausführbare Datei für kommerzielle Software oder für Videospiele beworben, die Opfer dazu verleitet, Code über schadhafte Websites oder Torrents herunterladen.

Darüber hinaus verbreiten die Malware-Bedrohungsakteure die infizierte, ausführbare Datei auch über Twitter-Meldungen – so wurde der erste Angriff auch entdeckt.

Die Datei wird als virtuelles CD-ROM-Laufwerk gemountet, sodass Nutzer dieses unter Windows 10 (oder Nachfolge-Versionen) anklicken können. Die Hauptkomponente dieser ISO-Datei ist CS Installer.exe, die sich als Keygen oder Game-Crack tarnt und eine Infektion auslöst.

Hier unterscheidet sich Bumblebee von ChromeLoader, denn die Malware ChromeLoader ist in ihrer Entwicklung noch leistungsfähiger.

ChromeLoader führt einen PowerShell-Befehl aus beziehungsweise dekodiert diesen, um das Archiv der Remote-Ressource abzurufen und eine Chrome-Erweiterung auf dem System zu installieren. Anschließend löscht PowerShell die geplante Task und infiziert Chrome mit einem versteckten Plug-in, das die Browser-Ergebnisse übernimmt und manipuliert.

Laut den Analysten von Red Canary zielen ChromeLoader-Betreiber auch auf macOS-Systeme ab, um Safari und Chrome zu verändern. Auf macOS-Systemen ist die Infektionskette identisch. Die Angreifer nutzen jedoch DMG-Dateien (Apple Disk Image) anstelle von ISO-Dateien.

Darüber hinaus kommt bei macOS ein Installer-Bash-Skript zum Einsatz, um die Malware-Erweiterung in dem Verzeichnis private/var/tmp abzulegen und zu dekomprimieren, anstelle einer ausführbaren Datei, die den Installer enthält.

Der Verlauf des Angriffs

So geht der Angriff vonstatten:

  1. Auf Twitter und anderen Social-Media-Plattformen werden manipulierte Dateien verbreitet, in der Regel als gecrackte, „kostenfreie“ Versionen von legitimen Anwendungen. Einige der infizierten Computer erhalten den Virus von zwielichtigen Websites und/oder Torrents.
  2. In einigen Social-Media-Posts werden QR-Codes verwendet, um für angeblich gecrackte Android-Spiele zu werben, die potenzielle Spieler auf verdächtige Websites/Phishing-Websites führen.
  3. Die ISO-Datei wird per Doppelklick als virtuelle CD-ROM gemountet. Die ausführbare ISO-Datei gibt vor, der Inhalt zu sein, nach dem das Opfer gesucht hat.
  4. Um eine Chrome-Erweiterung von einer Remote-Ressource zu laden, verwendet ChromeLoader einen PowerShell-Befehl. Die geplante Task wird anschließend von PowerShell entfernt. Das Opfer weiß nicht, dass sein Browser gehackt wurde. An diesem Punkt werden dem Benutzer gefälschte Suchergebnisse angezeigt, denen er nicht vertrauen sollte – unabhängig davon, auf welcher Seite er sich befindet.
  5. Dieser Angriff betrifft auch Nutzer von Mac OS X. Anstelle von ISO-Dateien verwenden die Angreifer DMG-Dateien (Apple Disk Image), ein gängiges Format unter diesem Betriebssystem.

Die Grundlagen, um sich vor ChromeLoader zu schützen

Die Suche nach gecrackten Spielen und Software ist sowohl aus privater als auch aus unternehmerischer Sicht eine gefährliche Angelegenheit. Viele Websites, die – als „legitime“ Crack-Websites getarnt – Malware verbreiten, sind schwer zu erkennen. Wenn Sie einen Torrent herunterladen, könnten Sie auch die Sicherheit Ihrer Geräte aufs Spiel setzen. Es ist ratsam, ISO-Dateien in die Liste der Objekte aufzunehmen, die in Ihrem Unternehmen nicht heruntergeladen werden dürfen.

Zum einen, weil ChromeLoader als ISO-Datei verteilt wird, und zum anderen ist es unwahrscheinlich, dass Ihre Mitarbeiter für ihre Arbeit ISO-Dateien benötigen.

Falls ein Mitarbeiter eine ISO-Datei aus dem Internet herunterladen muss, sollte er sich an das IT-Team wenden, um die notwendigen Vorkehrungen zu treffen. Die Wahrscheinlichkeit, dass Mitarbeiter auf infizierte ISO-Dateien zugreifen, ist geringer, wenn Torrent-Seiten wie PirateBay blockiert werden. Daher empfehlen wir, auch diese in die Filter aufzunehmen.

Schließlich machen sich Add-ons wie ChromeLoader die Leichtgläubigkeit des durchschnittlichen Internetnutzers zunutze. Hohe Rabatte auf Videospiele und andere Artikel sind ziemlich typisch.

Eine Chrome-Erweiterung ist jedoch grundsätzlich nichts, wovor ein Durchschnittsnutzer sich fürchten müsste.

Um zu überprüfen, ob eine unbekannte Erweiterung heruntergeladen und installiert wurde, können Sie wie folgt vorgehen:

  • Klicken Sie in Chrome auf das Symbol „Mehr“ und dann auf „Weitere Tools -> Erweiterungen“. Dort können Sie überprüfen, welche Erweiterungen installiert und welche aktiviert oder deaktiviert sind. Zudem erhalten Sie weitere Informationen über alle installierten Erweiterungen. Google empfiehlt, die Browser-Einstellungen zurückzusetzen und weitere Methoden zur Bereinigung zu nutzen.

Sie können diese Art von Angriffen abwehren, indem Sie Ihre Sicherheitslösungen auf dem aktuellen Stand halten und regelmäßig Scans durchführen. Bevor Sie eine heruntergeladene Datei nutzen, sollten Sie diese immer scannen. Denken Sie daran, dass schadhafte Erweiterungen überall auftreten können, nicht nur auf gefährlichen Websites oder in böswilligen Download-Angeboten.

Aufgrund der lockeren Richtlinien im Chrome-Web-Store ist es vorgekommen, dass schadhafte Erweiterungen der breiten Öffentlichkeit zum Download zur Verfügung standen. Bevor Sie eine neue Erweiterung in Ihrem Browser installieren, sollten Sie immer die Bewertungen, die Informationen zum Entwickler, die Berechtigungen der Erweiterung und alles weitere Wichtige überprüfen.

ChromeLoader ist ein gutes Beispiel dafür, wie stark Loader-basierte Angriffe zugenommen haben. Selbst wenn Unternehmen Bumblebee ernst genommen und alle erforderlichen Kontrollmechanismen umgesetzt haben, sind die Angriffe in einem alarmierenden Tempo mutiert. Wie bereits erwähnt, fehlen den meisten SIEM- und XDR-Lösungen die erforderlichen Analysemöglichkeiten über zahlreiche Datenquellen hinweg. Das eigentliche Problem besteht jedoch darin, dass sie sich auf regelbasierte maschinelle Lernmodelle verlassen, die unveränderbar und nicht in der Lage sind, sich an die unterschiedlichen Techniken und Tools der Angreifer anzupassen. Dies ermöglicht es Angreifern, schadhafte Payloads einfach zu übermitteln, sobald sie sich den initialen Zugang zum Netzwerk verschafft haben – meist über einen Phishing-Angriff.

Wir haben eine kuratierte Liste von Alerts erstellt, die Sie auf der Download-Site herunterladen können. Die Security Research und Global Services Teams von LogPoint haben einen Bericht verfasst, der detailliert auf die Methoden und die Entwicklung von ChromeLoader, die besten Sicherheitsverfahren sowie die Erkennung, die Untersuchung und die Reaktionsmaßnahmen mit LogPoint eingeht.

ET Chrome loader blog visual (1)

Weiterführende Informationen finden Sie hier:

Sie wünschen weitere Informationen?