Cybersecurity-Forscher haben neue Varianten der ChromeLoader-Malware entdeckt, die Informationen stehlen und deren Funktionen sich in kurzer Zeit weiterentwickelt haben.
ChromeLoader wurde im Januar 2022 entdeckt und wurde in Form von ISO- oder DMG-Dateien verbreitet, die über QR-Codes auf Twitter und kostenlosen Spieleseiten heruntergeladen wurden.
ChromeLoader wurde von der breiteren Cybersecurity-Community auch unter den Codenamen Choziosi Loader und ChromeBack bekannt. Das Besondere an der Adware ist, dass sie als Browser-Erweiterung und nicht als ausführbare Windows-Datei (.exe) oder Dynamic Link Library (.dll) auftritt.
Sie fordert nicht nur invasive Berechtigungen für den Zugriff auf Browserdaten und die Manipulation von Webanfragen an, sondern ist auch so konzipiert, dass sie die Suchanfragen der Nutzer/innen bei Google, Yahoo und Bing aufzeichnet und es den Bedrohungsakteuren so ermöglicht, ihr Online-Verhalten zu erfassen.
Während die erste Windows-Variante der ChromeLoader-Malware im Januar entdeckt wurde, tauchte im März eine macOS-Version der Malware auf, um die bösartige Chrome-Erweiterung (Version 6.0) in Form von Disk-Image-Dateien (DMG) zu verbreiten.
Eine neue Analyse von Palo Alto Networks Unit 42 zeigt jedoch, dass der früheste bekannte Angriff mit der Malware im Dezember 2021 stattfand und eine von AutoHotKey kompilierte ausführbare Datei anstelle der später beobachteten ISO-Dateien verwendet wurde.
„Diese Malware war eine ausführbare Datei, die mit AutoHotKey (AHK) geschrieben wurde – einem Framework, das für die Automatisierung von Skripten verwendet wird“, so Unit 42-Forscher Nadav Barak.
Diese erste Version soll auch keine Verschleierungsfunktionen enthalten haben, eine Funktion, die in späteren Versionen der Malware übernommen wurde, um ihren Zweck und ihren bösartigen Code zu verschleiern.
Im März 2022 wurde außerdem eine bisher nicht dokumentierte Kampagne beobachtet, bei der die Version 6.0 der Chrome-Erweiterung verwendet wurde. Sie stützt sich auf ein ISO-Image, das eine scheinbar harmlose Windows-Verknüpfung enthält, in Wirklichkeit aber eine versteckte Datei in dem eingebundenen Image startet, über die die Malware installiert wird.
„Diese Malware zeigt, wie entschlossen Cyberkriminelle und Malware-Autoren sein können: Innerhalb eines kurzen Zeitraums haben die Autoren von ChromeLoader mehrere verschiedene Codeversionen veröffentlicht, mehrere Programmier-Frameworks verwendet, Funktionen erweitert, fortschrittliche Obfuskatoren eingesetzt, Probleme behoben und sogar OS-übergreifende Unterstützung für Windows und macOS hinzugefügt“, so Barak.