Eine Malvertising-Bedrohung erlebt seit ihrem Auftauchen Anfang des Jahres einen neuen Aktivitätsschub.
Bei der Malware mit dem Namen ChromeLoader handelt es sich um einen „weit verbreiteten und hartnäckigen Browser-Hijacker, der die Browser-Einstellungen seiner Opfer verändert und den Benutzerverkehr auf Werbe-Websites umleitet“, so Aedan Russell von Red Canary in einem neuen Bericht.
ChromeLoader ist eine bösartige Chrome-Browsererweiterung und wird in der Regel in Form von ISO-Dateien über Pay-per-Install-Websites und geköderte Social-Media-Posts verbreitet, die QR-Codes für geknackte Videospiele und raubkopierte Filme bewerben.
Während er in erster Linie funktioniert, indem er die Suchanfragen der Benutzer bei Google, Yahoo und Bing entführt und den Datenverkehr auf eine Werbeseite umleitet, ist er auch dafür bekannt, dass er PowerShell verwendet, um sich in den Browser einzuschleusen und die Erweiterung hinzuzufügen.
Die Malware, die auch als Choziosi Loader bekannt ist, wurde erstmals von G DATA Anfang Februar dieses Jahres dokumentiert.
„Im Moment ist der einzige Zweck, Einnahmen über unerwünschte Werbung und Suchmaschinen-Hijacking zu erzielen“, so Karsten Hahn von G DATA. „Aber Loader bleiben oft nicht auf Dauer bei einer Nutzlast und Malware-Autoren verbessern ihre Projekte mit der Zeit.“
Ein weiterer Trick von ChromeLoader ist die Fähigkeit, Opfer von der Chrome-Erweiterungsseite („chrome://extensions“) umzuleiten, wenn sie versuchen, das Add-on zu entfernen.
Darüber hinaus haben Forscher eine macOS-Version der Malware entdeckt, die sowohl mit Chrome- als auch mit Safari-Browsern funktioniert und ChromeLoader zu einer plattformübergreifenden Bedrohung macht.
„Wenn dieses PowerShell-Verhalten auf eine Bedrohung von größerer Tragweite angewandt wird – wie z. B. einen Credential Harvester oder Spyware – könnte die Malware damit zunächst Fuß fassen und unentdeckt bleiben, bevor sie offenkundig bösartigere Aktivitäten durchführt, wie z. B. das Exfiltrieren von Daten aus den Browser-Sitzungen eines Benutzers“, so Russell.
Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.
Einige Teile dieses Artikels stammen aus:
thehackernews.com
Die zusätzlichen Gefahren, die privilegierte Konten für Ihr Active Directory darstellen