Cybersicherheitsexperten von ReasonLabs haben eine weitreichende Malware-Kampagne aufgedeckt, die mehr als 300.000 Installationen bösartiger Erweiterungen in Google Chrome und Microsoft Edge zur Folge hatte. Diese Erweiterungen sind in der Lage, ausführbare Dateien zu modifizieren, Startseiten zu manipulieren und den Browserverlauf zu stehlen.
Ausgeklügelte Taktiken der Cyberkriminellen
Die Kampagne, die seit 2021 aktiv ist, begann zunächst mit der Nachahmung von Websites für Spiele-Add-ons. Inzwischen hat sich die Strategie weiterentwickelt: Opfer werden dazu verleitet, Software-Installer von betrügerischen Websites herunterzuladen, die aggressiv über manipulierte Google-Suchanzeigen beworben werden. Die Angreifer nutzen dabei ein breites Spektrum an Themen, darunter populäre Software wie Roblox FPS Unlocker, TikTok Video Downloader und den Passwort-Manager KeePass.
Täuschend echte Installer
Die Installer tragen eine digitale Signatur von „Tommy Tech LTD“ und konnten zum Zeitpunkt der Analyse alle auf VirusTotal verfügbaren Antivirenlösungen umgehen. Statt der versprochenen Software enthalten diese Installer jedoch schädliche PowerShell-Skripte, die weitere Malware von entfernten Servern nachladen und auf dem infizierten System ausführen.
Weitreichende Auswirkungen auf infizierte Systeme
Die Malware installiert zahlreiche bösartige Erweiterungen für Google Chrome und Microsoft Edge. Diese Erweiterungen sind in der Lage:
- Suchanfragen abzufangen und umzuleiten
- Die Startseite des Browsers zu manipulieren
- Den Browserverlauf zu stehlen
- Nutzer auf schädliche oder Werbeseiten umzuleiten
Persistenz und Tarnung
Um ihre Präsenz zu verschleiern und eine Entfernung zu erschweren, setzt die Malware verschiedene Techniken ein:
- Modifikation von Browser-DLLs zur Änderung der Startseite
- Deaktivierung der automatischen Browser-Updates
- Verstecken der Erweiterungen in den Browser-Einstellungen
Empfohlene Gegenmaßnahmen
Für betroffene Nutzer empfehlen die Experten von ReasonLabs folgende Schritte zur Bereinigung:
- Entfernen verdächtiger geplanter Aufgaben im Windows Task Scheduler
- Löschen schädlicher Registrierungseinträge
- Entfernen der Malware-Dateien manuell oder mittels Antivirensoftware
- Neuinstallation des Browsers zur Sicherheit
Diese weitreichende Malware-Kampagne unterstreicht die Notwendigkeit erhöhter Wachsamkeit beim Download von Software und bei der Installation von Browser-Erweiterungen. Regelmäßige Sicherheitsupdates und der Einsatz zuverlässiger Antivirensoftware sind entscheidend, um sich vor solch ausgeklügelten Bedrohungen zu schützen. Nutzer sollten stets die Quelle von Software-Downloads überprüfen und bei der Installation neuer Programme oder Erweiterungen besondere Vorsicht walten lassen.
