Eine Malvertising-Bedrohung erlebt seit ihrem Auftauchen Anfang dieses Jahres einen neuen Aktivitätsschub.
Die Malware mit dem Namen ChromeLoader ist ein „weit verbreiteter und hartnäckiger Browser-Hijacker, der die Browsereinstellungen seiner Opfer verändert und den Nutzerverkehr auf Werbe-Websites umleitet“, so Aedan Russell von Red Canary in einem neuen Bericht.
ChromeLoader ist eine bösartige Chrome-Browsererweiterung und wird in der Regel in Form von ISO-Dateien über Pay-per-Install-Websites und geköderte Social-Media-Posts verbreitet, die QR-Codes für geknackte Videospiele und raubkopierte Filme bewerben.
Er funktioniert in erster Linie, indem er Suchanfragen von Nutzern bei Google, Yahoo und Bing entführt und den Datenverkehr auf eine Werbeseite umleitet, aber er nutzt auch die PowerShell, um sich in den Browser einzuschleusen und die Erweiterung hinzuzufügen.
Die Malware, die auch als Choziosi Loader bekannt ist, wurde zum ersten Mal von G DATA im Februar dieses Jahres dokumentiert.
„Im Moment besteht der einzige Zweck darin, über unerwünschte Werbung und Suchmaschinen-Hijacking Einnahmen zu erzielen“, sagt Karsten Hahn von G DATA. „Aber Loader bleiben oft nicht auf Dauer bei einer Nutzlast und Malware-Autoren verbessern ihre Projekte im Laufe der Zeit.“
Ein weiterer Trick von ChromeLoader ist, dass er seine Opfer von der Chrome-Erweiterungsseite („chrome://extensions„) wegleitet, wenn sie versuchen, das Add-on zu entfernen.
Außerdem haben die Forscher eine macOS-Version der Malware entdeckt, die sowohl Chrome als auch Safari angreift und ChromeLoader zu einer plattformübergreifenden Bedrohung macht.
„Dieses PowerShell-Verhalten könnte der Malware helfen, zunächst Fuß zu fassen und unentdeckt zu bleiben, bevor sie offenkundig bösartigere Aktivitäten durchführt, wie z. B. das Abgreifen von Daten aus den Browsersitzungen eines Nutzers“, so Russell.