Bedrohung für Chrome-Nutzer: Trojaner Mutabaha agiert als Fake-Browser

Keine Kommentare
 

Google Chrome gehört zu den weltweit meistverwendeten Browsern. Dass Chrome-User seit neuestem zur Zielscheibe geldgieriger Cyberkrimineller werden, ist somit wenig überraschend. Bemerkenswert ist allerdings die Angriffstechnik des eigens zu diesem Zweck programmierten Trojaners Mutabaha. Indem er den Chrome-Browser imitiert, ist er in der Lage, Daten zu sammeln und ganz nebenbei auch noch jede Menge Werbung einzublenden.


Chrome-Web-Browser-ICON

Bedrohung für Chrome-Nutzer: Trojaner Mutabaha agiert als Fake-Browser (pixabay.com/geralt)

Wie der russische Antiviren-Hersteller Doctor Web berichtete, ist bislang nicht bekannt, wie die Malware auf die Rechner gelangt. Sicher ist allerdings, dass die Infektion durch einen so genannten Dropper gestartet wird – eine eigenständige Malware, die für den Download und die Installation des eigentlichen Trojaners zuständig ist. Indem der Dropper einen entfernten Command-and-Control-Server kontaktiert, erfragt er die aktuelle Mutabaha-Download-Quelle. Eine .bat-Datei dient dem zeitverzögerten Entfernen des Droppers im Anschluss an die Trojaner-Installation.

Outfire – ein Chrome Build mit bösen Absichten

Mutabaha, der nun als gefälschter Chrome-Browser “Outfire” agiert, sucht zunächst nach Updates und trägt sich in die Windows Registry ein. Zudem überprüft er, ob sich andere gefälschte Browser auf dem System befinden, um sie zu beenden und zu entfernen. Dazu bedient er sich zweier Wortlisten, die er miteinander kombiniert. Die dabei entstehenden Namen werden mit dem String “Outfire” sowie einer jeweils zugeordneten Versionsnummer verglichen. Um während des Zugriffs auf die Registry und des Startens und Beendens diverser Prozesse nicht durch die User Account Control (UAC) von Windows enttarnt zu werden, nutzt Mutabaha eine erst seit kurzem bekannte UAC-Bypass-Technik.

Outfire ist eine Modifikation des Chrome-Browsers: Dadurch, dass er sowohl die bestehenden Chrome-Verknüpfungen mit angepasstem Pfad weiternutzt als auch gespeicherte Nutzerinformationen aus der installierten Original Chrome Version übernimmt, fällt die Veränderung auf den ersten Blick kaum auf. Spätestens beim zweiten Hinschauen offenbart sich jedoch die geänderte Browser-Startseite mit eher unschönem Aquarium-Motiv und – wie von Doctor Web veröffentlichte Screenshots zeigen – kyrillischen Schriftzügen. Ebenfalls auffällig sind die angepasste Suchfunktion, die von den Malware-Programmierern mit hoher Wahrscheinlichkeit zum Sammeln und Auswerten eingegebener Begriffe genutzt wird, sowie eine Vielzahl eingeblendeter Werbeanzeigen.

Im Hinblick darauf, dass Mutabahas Verbreitungsweg noch ungeklärt ist, besteht der beste Schutz in einem Betriebssystem, dessen Komponenten – ebenso wie sämtliche Zusatz-Software – stets auf dem neuesten Stand sind. Ebenfalls wichtig ist die Nutzung eines effektiven Virenschutzes.

Über Browser Security

Browser Security ist Ihr Browser-Add-on zum Schutz vor Phishing-Domains und gefährlichen Malware-Angriffen. Vertrauen Sie unserer Live-Protection und der E-Mail-Kontrolle für ein bedenkenloses Surf-Erlebnis und schützen Sie sich effektiv vor Datenklau!

 
Keine Kommentare

Kommentar hinterlassen