Unterwanderte Webseiten verteilen Malware mit gefälschten Chrome-Fehlermeldungen
IT-Forscher haben eine Malware-Kampagne entdeckt, bei der Schadsoftware von Webseiten verteilt wird, die als Google-Chrome-Fehlermeldung aufgemacht sind.
(Bild: Velishchuk Yevhen / Shutterstock.com)
IT-Forscher der IT-Sicherheits-Tochterfirma der Nippon Telegraph and Telephone (NTT Security Holdings) haben eine Schadsoftware-Kampagne aufgedeckt, die ihre Ursprünge im November 2022 hat. Kompromittierte Webseiten zeigen dabei gefälschte Fehlermeldungen des Webbrowsers Google Chrome an. Seit Februar nimmt die Kampagne an Fahrt auf und betrifft inzwischen weite Regionen.
Die Angriffe starten demnach beim Besuch einer manipulierten Webseite. Diese enthalten ein extern eingebundenes JavaScript, das dabei heruntergeladen und ausgeführt wird. Das Skript nutzt Anti-Analyse-Mechanismen und liege daher verschleiert vor.
Malware-Kampagne: Mehrstufiger Angriff
Das JavaScript löst zwei HTTP-Anfragen aus und lädt weiteres JavaScript nach. Der nachgeladene JavaScript-Code enthält Funktionen zur Eingrenzung eines Ziels, zur Umleitung auf eine URL, die eine gefälschte Fehlermeldung anzeigt, sowie zur Zugriffskontrolle mit einem Cookie.
Das führt zur Anzeige der gefälschten Fehlermeldung in der Optik von Google Chrome-Fehlern.
(Bild: nttsecurity.com)
Schließlich kommt weiterer JavaScript-Code zur Ausführung, der eine ZIP-Datei herunterlädt. Die trägt einen Namen, der mit "chromium-patch-nightly" anfängt und die Datei als Chrome-Update tarnt. Die Sprache der Fehlermeldung variiert abhängig von der kompromittierten Webseite, schreibt der IT-Forscher Ryu Hiyoshi. Sie hätten etwa Nachrichten in Japanisch, Koreanisch und Spanisch gefunden. Die Analyse des Schadcodes aus dem November 2022 zeige, dass mehr als 100 Sprachen unterstützt werden. Das Design und die Nachricht wichen aber etwas von den derzeitig beobachteten ab.
Kryptowährungen schürfen
Wie so oft stehen finanzielle Interessen hinter den Angriffen. Die heruntergeladene ZIP-Datei enthält einen Monero-Miner, der die Kryptowährung schürft. Diese kopiert sich als updater.exe in das Verzeichnis C:\Program Files\Google\Chrome. Sie startet den legitimen Prozess conhost.exe und injiziert sich dort hinein. Persistenz erreicht die Malware dadurch, dass sie sich schließlich in den Task-Scheduler und der Registry verankert.
Sie fügt zudem Ausnahmen für sich zum Windows Defender hinzu. Weiter beendet sie Windows Update und dazugehörige Dienste. Schließlich manipuliert der Schädling noch die hosts-Datei des Systems, um damit Online-Verbindungen von Sicherheitsprogrammen zu unterbinden. Außerdem nimmt er Kontakt zu einem Server auf, um von dort Daten zum Schürfen der Monero-Kryptowährung zu erhalten. Die Analyse von Hiyoshi listet noch Indizien für einen Befall (Indicators Of Compromis, IOCs) auf, mit denen sich eine Infektion feststellen lässt.
Hiyoshi schließt mit der Einschätzung, dass "die Auswirkungen dieser Kampagne immer weitreichender und schwerwiegender werden, da viele Websites [..] kompromittiert wurden. Da die Möglichkeit besteht, dass sich die Angriffe fortsetzen, ist es notwendig, genau aufzupassen".
Neben Ransomware dienen noch immer Krypto-Miner Cyberkriminellen als Einnahmequelle. Mitte vergangenen Jahres haben sie etwa Schwachstellen in Confluence genutzt, um Krypto-Miner einzuschleusen.
(dmk)
