Die signierte Software stammt laut Huntress von einer Firma namens Dragon Boss Solutions LLC, die im Bereich der „Suchmaschinen-Monetarisierung" tätig ist und mehrere Werkzeuge bewirbt. Produkte wie Chromstera Browser, Chromnius, WorldWideWeb, Web Genius und Artificius Browser werden als Browser ausgegeben, von mehreren Sicherheitslösungen aber als PUP erkannt.
Über Werbung und Umleitungen hinaus verfügen diese Browser nach Angaben der Forscher über einen ausgefeilten Update-Mechanismus, der einen sogenannten Antivirus-Killer nachlädt. Dabei nutzt die Operation den Update-Mechanismus des kommerziellen Authoring-Werkzeugs Advanced Installer, um MSI- und PowerShell-Schadlasten auszuliefern. Die Konfigurationsdatei des Update-Vorgangs enthielt mehrere Schalter, die den Prozess vollständig unsichtbar und ohne Nutzerinteraktion ablaufen ließen, die Schadlasten mit erhöhten Rechten (SYSTEM) installierten, das Abschalten automatischer Updates verhinderten und häufig nach neuen Versionen suchten.
Laut Huntress lädt der Update-Vorgang eine MSI-Schadlast (Setup.msi) nach, die als GIF-Bild getarnt ist und derzeit auf VirusTotal nur von fünf Sicherheitsanbietern als bösartig erkannt wird. Die MSI-Datei enthält mehrere legitime DLLs, die Advanced Installer für Aufgaben wie das Ausführen von PowerShell-Skripten oder das Suchen bestimmter Software verwendet; die Anweisungen liegen in einer separaten Datei namens „!_StringData".
Vor dem Ausrollen der eigentlichen Schadlast führt der MSI-Installer eine Erkundung durch: Er prüft Administratorrechte, erkennt virtuelle Maschinen, kontrolliert die Internetverbindung und fragt in der Registry installierte Antivirenprodukte von Malwarebytes, Kaspersky, McAfee und ESET ab. Abgeschaltet werden diese mit einem PowerShell-Skript namens ClockRemoval.ps1, das an zwei Stellen abgelegt wird. Auch Installer der Browser Opera, Chrome, Firefox und Edge werden ins Visier genommen, vermutlich um Störungen beim Browser-Hijacking der Adware zu vermeiden.
Das Skript läuft beim Systemstart, bei der Anmeldung und alle 30 Minuten und stellt sicher, dass Schutzprodukte nicht mehr vorhanden sind — durch Stoppen von Diensten, Beenden von Prozessen, Löschen von Verzeichnissen und Registry-Einträgen, stilles Ausführen der Hersteller-Deinstallationsprogramme sowie erzwungenes Löschen von Dateien, wenn diese scheitern. Eine erneute Installation oder Aktualisierung wird verhindert, indem die Hersteller-Domains über die Hosts-Datei blockiert und auf 0.0.0.0 umgeleitet werden.
Während der Analyse stellte Huntress fest, dass die Betreiber weder die zentrale Update-Domain (chromsterabrowser[.]com) noch die Ersatz-Domain (worldwidewebframework3[.]com) registriert hatten. Die Forscher registrierten daraufhin die Hauptdomain und beobachteten, wie „Zehntausende kompromittierter Endgeräte nach Anweisungen suchten, die in den falschen Händen alles Mögliche hätten sein können". Anhand der IP-Adressen identifizierten sie 324 infizierte Hosts in besonders sensiblen Netzwerken: 41 in OT-Netzen der Energie- und Transportbranche sowie bei Betreibern kritischer Infrastruktur, 35 bei Kommunalverwaltungen, Behörden und öffentlichen Versorgern, 24 an Schulen, drei bei Gesundheitsorganisationen sowie Netzwerke mehrerer Fortune-500-Unternehmen.
BleepingComputer versuchte, Dragon Boss Solutions zu erreichen, fand jedoch keine Kontaktdaten, da die Website nicht mehr erreichbar ist. Huntress warnt, dass der Mechanismus zwar derzeit nur einen Antivirus-Killer einsetzt, aber jederzeit weit gefährlichere Schadlasten einschleusen könnte. Da die Hauptdomain nicht registriert war, hätte sich zudem jeder Beliebige ihrer bemächtigen und über die bereits bestehende Infrastruktur beliebigen Code an Tausende ungeschützte Rechner ausliefern können.
Administratoren empfiehlt Huntress, nach WMI-Ereignisabonnements mit „MbRemoval" oder „MbSetup", geplanten Aufgaben mit Bezug zu „WMILoad" oder „ClockRemoval" sowie nach von Dragon Boss Solutions LLC signierten Prozessen zu suchen. Außerdem sollten die Hosts-Datei auf blockierte AV-Domains und die Defender-Ausschlüsse auf verdächtige Pfade wie „DGoogle", „EMicrosoft" oder „DDapps" geprüft werden.
