Der von Sicherheitsforschern von Doctor Web analysierte Trojaner Trojan.ChimeraWire zeigt, wie weit sich Cyberkriminelle von klassischer Ransomware und Bankingtrojanern entfernt haben. Die Malware verschlüsselt keine Daten und stiehlt kein Geld direkt. Stattdessen simuliert sie menschliches Surfverhalten im Browser, um Suchergebnisse zu manipulieren, Traffic zu generieren und Schutzmechanismen von Werbe- und SEO-Plattformen zu umgehen.
Technische Basis: legitime Automatisierungsframeworks als Waffe
ChimeraWire basiert auf den Open-Source-Projekten zlsgo und Rod, die eigentlich zur legitimen Browser-Automatisierung genutzt werden. Angreifer kombinieren diese Frameworks zu einem leistungsfähigen Modul für Remote-Steuerung von Chrome auf infizierten Windows-Systemen.
Die Malware lädt eine eigene portable Version von Google Chrome von einem C2-Server, startet den Browser im Headless- und Remote-Debugging-Modus und verbindet sich über WebSocket mit dem Debug-Port. Dadurch lassen sich Klicks, Scrollen, Tab-Wechsel und komplexe Interaktionen vollautomatisch steuern – ohne sichtbares Browserfenster für den Nutzer.
Infektionsketten: mehrstufige Downloader und Privilegienerweiterung
Erste Kette: Python-Loader und DLL-Hijacking ueber OneDrive
In einem Szenario beginnt die Kompromittierung mit Trojan.DownLoader48.54600, der zunächst nach virtuellen Maschinen und Debuggern sucht, um Analysen zu erschweren. Wenn keine Indikatoren für eine Sandbox vorhanden sind, lädt er ein Archiv python3.zip mit dem Python-Skript Python.Downloader.208 sowie der manipulierten Bibliothek ISCSIEXE.dll (Trojan.Starter.8377).
Das Skript prüft zunächst die Rechte des aktuellen Benutzers. Liegen keine Administratorrechte vor, missbraucht es die Schwachstelle DLL Search Order Hijacking: Die Schad-DLL wird in den Ordner WindowsApps kopiert, ein VBS-Skript erstellt und die Systemkomponente iscsicpl.exe gestartet. Diese lädt automatisch die präparierte DLL und startet den Python-Loader mit erhöhten Rechten neu.
Mit Administratorrechten lädt Python.Downloader.208 das Archiv onedrive.zip, das eine legitime, signierte OneDrivePatcher.exe und die schädliche UpdateRingSettings.dll (Trojan.DownLoader48.54318) enthält. Über ein erneutes DLL Search Order Hijacking lädt OneDrivePatcher die manipulierte Bibliothek, welche schließlich die finale Nutzlast – Trojan.ChimeraWire im ZLIB-Container inklusive Shellcode – entschlüsselt und ausführt.
Zweite Kette: Masquerade PEB, ATL.dll-Manipulation und WMI-Missbrauch
Die zweite beobachtete Infektionskette beginnt mit Trojan.DownLoader48.61444. Ohne Adminrechte tarnt sich der Trojaner per Masquerade PEB als explorer.exe, um Aufspürmechanismen zu umgehen. Anschließend wird eine Kopie der Systembibliothek ATL.dll gepatcht: Der Downloader injiziert entschlüsselten Bytecode und den Pfad zur eigenen Datei und registriert diese DLL im WMI-Umfeld.
Zur Privilegienerweiterung nutzt der Trojaner den COM-Interface CMSTPLUA, der für bekannte UAC-Umgehungsszenarien missbraucht werden kann. Nach erfolgreicher Eskalation kopiert er die manipulierte ATL.dll nach %SystemRoot%\System32\wbem. Wird anschließend WmiMgmt.msc über mmc.exe gestartet, greift Windows aufgrund der DLL-Suchreihenfolge erneut zur schädlichen Bibliothek – der Downloader läuft nun mit Administratorrechten.
Mit diesen Rechten führt die Malware PowerShell-Skripte aus, lädt die Archive one.zip (OneDrivePatcher.exe + UpdateRingSettings.dll) und two.zip (Python.Downloader.208 als update.py sowie den umbenannten Interpreter Guardian.exe) und legt Aufgaben im Taskplaner an, um Persistenz sicherzustellen.
ChimeraWire als versteckter Browser-Klicker: CAPTCHA-Bypass und Traffic-Manipulation
Nach erfolgreicher Installation lädt ChimeraWire ein Paket chrome-win.zip mit einer portablen Chrome-Version; auf dem Server existieren zudem Varianten für Linux und macOS. Die Malware versucht unbemerkt, die Erweiterungen NopeCHA und Buster zu installieren, die auf die automatisierte Lösung von CAPTCHA spezialisiert sind. Dadurch ähnelt das Verhalten stark echten Nutzerinteraktionen und erschwert Bot-Erkennung.
Der Trojaner bezieht seine Steuerbefehle über WebSocket vom C2-Server. Dieser liefert base64-kodierte, mit AES-GCM verschlüsselte JSON-Konfigurationen. Darin sind unter anderem definiert: angezielte Suchmaschine (Google oder Bing), Keywords und zu pushende Domains, maximale Klickanzahl, Klicktiefe, Zeitverzögerungen sowie wahrscheinlichkeitsbasierte Klickmodelle (z. B. Verteilung „1:90, 2:10“).
ChimeraWire generiert Suchanfragen, analysiert die Ergebnisseite, extrahiert alle Links und mischt deren Reihenfolge zufällig. Dies soll Verhaltensanalysen und Anti-Bot-Mechanismen umgehen, die auf typische Klickpfade achten. Relevante Links werden anhand der Vorgaben gewichtet; bei zu wenigen Treffern entscheidet die hinterlegte Wahrscheinlichkeitslogik, wie viele und welche Links besucht werden. Zwischen den Klicks baut die Malware realistisch wirkende Pausen und Seitenladezeiten ein.
Risiken fuer Unternehmen: SEO-Betrug, Ad-Fraud und Datenmissbrauch
ChimeraWire zeigt exemplarisch, wie sich Malware zum universellen Automatisierungswerkzeug fuer Browser entwickelt. Neben der Manipulation von Suchergebnissen und Traffic können ähnliche Werkzeuge laut Branchenanalysen auch für masshaftes Ausfüllen von Formularen, Fake-Registrierungen, Klickbetrug in Werbenetzwerken und Datenscraping eingesetzt werden. Studien etwa von Juniper Research schätzen die weltweiten Schäden durch Online-Werbebetrug bereits auf zig Milliarden US-Dollar pro Jahr.
Für Unternehmen bedeutet dies, dass nicht nur direkte Systemkompromittierung, sondern auch Manipulation betriebswirtschaftlicher Kennzahlen – etwa Marketing-ROI, Conversion Rates oder Kampagnenreichweiten – zu einem relevanten Risiko wird. Zugleich können kompromittierte Endpunkte unbemerkt Teil eines Botnetzes für SEO-Betrug und Klick-Manipulation werden und so rechtliche und reputative Folgen nach sich ziehen.
Zur Risikominimierung sollten Organisationen insbesondere die Integrität von Systembibliotheken (z. B. ATL.dll), ungewöhnliche Aktivitäten des Windows-Taskplaners und von PowerShell sowie den Einsatz von nicht autorisierten Interpretern und Portabel-Browsern überwachen. Härtungsmassnahmen gegen DLL Search Order Hijacking und bekannte UAC-Bypässe wie CMSTPLUA, regelmässige Windows- und COM-Updates sowie der Einsatz moderner EDR/XDR-Loesungen und Netzwerkmonitoring können die Entdeckung solcher Kampagnen erheblich erleichtern.
Angesichts der wachsenden Professionalisierung von SEO- und Werbebetrug ist es ratsam, Security-, Marketing- und Compliance-Teams enger zu verzahnen. Wer Anomalien in Traffic-Mustern, Conversion-Daten oder Klickstatistiken frühzeitig analysiert und mit Telemetriedaten aus Endpoint- und Netzwerk-Security verknüpft, reduziert die Angriffsfläche und erkennt Kampagnen wie ChimeraWire deutlich früher.
