Die Sicherheitsforscher von Huntress verfolgten eine Kampagne, die auf den ersten Blick wie eine klassische Adware-Operation wirkt – tatsächlich aber ein weitaus größeres Risiko darstellt. Das Unternehmen Dragon Boss Solutions LLC, das sich selbst als Betreiber von “Search Monetization Research” präsentiert, vertrieb unter Bezeichnungen wie Chromstera Browser, Chromnius und WorldWideWeb vermeintliche Browser, die von Antivirus-Lösungen als potentiell unerwünschte Programme (PUPs) erkannt wurden.
Doch diese Tools waren mit einem ausgeklügelten Update-Mechanismus ausgestattet. Dieser nutzte das kommerzielle Werkzeug Advanced Installer, um MSI- und PowerShell-Payloads auf Benutzer-Systemen einzuschleusen – mit SYSTEM-Privilegien und ohne jegliche Benutzerinteraktion. Das System war so konfiguriert, dass Nutzer automatische Updates nicht deaktivieren konnten und Aktualisierungen alle 30 Minuten abgefragt wurden.
Der eigentliche Schlag folgte dann: Ein PowerShell-Skript namens ClockRemoval.ps1 wurde ausgeführt, das gezielt Antivirus-Produkte von Malwarebytes, Kaspersky, McAfee und ESET deaktivierte. Das Skript stoppte Services, tötete Prozesse, löschte Installationsverzeichnisse und Registry-Einträge – und blockierte sogar die Domains der Sicherheitshersteller durch Modifikation der Hosts-Datei. Eine Neuinstallation war damit praktisch unmöglich.
Besonders brisant: Huntress identifizierte 324 infizierte Geräte in hochsensiblen Netzwerken. Dazu gehören 41 Operational-Technology-Netzwerke in Energie- und Transportsektoren, 35 Behörden und Stadtwerke, 24 Schulen sowie drei Krankenhaus-Systeme. Auch mehrere Fortune-500-Unternehmen waren betroffen.
Das Forscherteam machte zudem eine kritische Entdeckung: Die Haupt-Update-Domain (chromsterabrowser.com) war nie registriert worden. Huntress sicherte sich die Domain und beobachtete, wie “Zehntausende kompromittierte Endpoints nach Anweisungen suchten, die in falschen Händen zu beliebigem Code hätten werden können”.
Dies verdeutlicht das größte Risiko dieser Kampagne: Die Infrastruktur zur Verteilung beliebiger Malware auf tausenden schutzlosen Systemen existiert bereits. Ein anderer Akteur hätte die Domain beanspruchen und Ransomware oder Spionage-Tools verbreiten können. Huntress warnt daher eindringlich: Das System sei nicht auf Antivirus-Killer beschränkt, sondern könnte jederzeit für deutlich gefährlichere Attacken missbraucht werden.
Systemadministratoren sollten nach WMI-Event-Subscriptions mit “MbRemoval”, geplanten Tasks mit “WMILoad” oder “ClockRemoval” und Prozessen mit Dragon-Boss-Signatur suchen. Auch die Hosts-Datei sollte auf blockierte Domains überprüft werden.