Hinter der Kampagne steht Dragon Boss Solutions LLC, das sich als in den Vereinigten Arabischen Emiraten registriertes Unternehmen ausgibt. Laut seinem Crunchbase-Profil betreibt es Forschung an Lösungen zur Suchmaschinen-Monetarisierung für Browser-Erweiterungen, Software und Desktop-Anwendungen – nach Einschätzung von Huntress eine geschönte Umschreibung dafür, dass die Firma Adware in Browsern und Apps verbreitet. Diese Werbeprogramme werden regelmäßig von Antivirensoftware erkannt und markiert; offenbar beschloss der Anbieter, daran etwas zu ändern.
Die Programme von Dragon Boss nutzen das verbreitete Werkzeug Advanced Installer, um ihre Dateien zu bündeln und zu installieren. Eine zentrale Funktion von Advanced Installer ist sein Update-Mechanismus, der selbsttätig in regelmäßigen Abständen nach neuen Versionen der damit verpackten Programme sucht. Genau über diesen Kanal verteilte Dragon Boss seine schädliche Aktualisierung.
Die Forscher von Huntress vermuten, dass die Schadkomponente mithilfe eines KI-Werkzeugs geschrieben wurde, da alle bösartigen Aktionen säuberlich in eingebetteten Code-Kommentaren beschrieben sind. Durch das Abschalten der Schutzsoftware und die dauerhafte Verankerung im System konnte die Adware ungestört ihrem Geschäft nachgehen. Mit einem weiteren Update hätte Dragon Boss jedoch ebenso leicht Ransomware, ein Botnetz oder eine andere Schadlast nachladen können – und selbst ohne entsprechende Absicht des Anbieters hätte jeder andere Angreifer dieselbe Möglichkeit gehabt.
Jede Instanz der Adware bezog ihre Updates von einer primären und einer Backup-Adresse. Die Implantate empfingen ihre Aktualisierungen über die sekundäre Domain, während die primäre aus unerklärlichen Gründen nicht registriert war. Huntress sicherte sich diese Domain zuerst und legte die Kampagne damit lahm.
Beim Sinkholing zeigte sich das Ausmaß: Die Adware hatte sich auf mehr als 23.500 Rechner in 124 Ländern ausgebreitet, rund die Hälfte davon in den USA, die meisten übrigen in wohlhabenden westlichen Ländern. Unter den Betroffenen befanden sich auch hochwertige Ziele – darunter 35 staatliche Stellen, 41 Netze im Bereich der Betriebstechnik (OT), 221 Hochschulen und einige Fortune-500-Unternehmen.
Ryan Dowd, leitender Analyst im Security Operations Center von Huntress, berichtet, die meisten Instanzen seien bereits seit 2022 auf den Geräten vorhanden gewesen und von weiteren unerwünschten Programmen begleitet worden, was auf mitgelieferte Adware hindeute – einen Beweis dafür gebe es jedoch nicht. Die Unterscheidung zwischen einem potenziell unerwünschten Programm und klassischer Malware hänge oft an einer dünnen Linie aus Nutzereinwilligung und technischer Absicht, nicht an den Fähigkeiten des Codes selbst, so Dowd. Solche Programme blieben meist unter dem Radar von Lösungen zur Endpunkterkennung und -reaktion (EDR), weil sie fortbestehen und überleben wollten, um Einnahmen zu erzielen.
Augustine Fou, Spezialist für Werbebetrug und Gründer von FouAnalytics, verweist auf eine lange Geschichte von Adware, die heimlich Malware und Ransomware über Werbeanzeigen ausliefert. Mittels Geofencing ließen sich etwa gezielt Ärzte eines bestimmten Krankenhauses mit Anzeigen erreichen, die Ransomware-Code enthalten; oft nutzten solche Anzeigen das Werbematerial seriöser Marken wie McDonald’s, um harmlos zu wirken, ohne dass die Werbetreibenden davon wüssten. Sein Rat an besonders gefährdete Organisationen lautet schlicht: alle Werbeanzeigen auf allen Rechnern im Netzwerk blockieren.
