Das Schicksal der Dragon-Boss-Adware zeigt eindrucksvoll, wie schnell vermeintlich harmlose Software zu einer kritischen Sicherheitsbedrohung werden kann. Die Kampagne verdeutlicht auch ein grundlegendes Problem der Cybersicherheit: die verschwommene Grenze zwischen störender Adware und echter Malware.
Dragon Boss Solutions LLC nutzte ein weit verbreitetes Installationsprogramm namens “Advanced Installer”, um ihre Adware zu verteilen. Besonders tückisch war die automatisierte Update-Funktion dieses Tools, die sich ohne Nutzeraktion aktiviert. In den frühen Morgenstunden des 22. März 2025 exploitierte das Unternehmen genau diese Schwachstelle.
Das versteckte Payload war ausgefeilter als typische Adware. Es deaktivierte systematisch Sicherheitssoftware von renommierten Anbietern wie ESET, McAfee und Kaspersky. Darüber hinaus richtete es Persistenzmechanismen ein und konfigurierte Windows Defender so, dass zukünftige Payloads nicht erkannt würden. Huntress-Forscher vermuteten sogar, dass bei der Codeentwicklung ein KI-Tool zum Einsatz kam, da der Malware-Code detaillierte Inline-Kommentare enthielt.
Als die Sicherheitsforscher der Firma Huntress die Infrastruktur analysierten, entdeckten sie ein kritisches Sicherheitsloch: Die primäre Update-Domain war nicht registriert, während eine sekundäre Domain verwendet wurde. Mit nur zehn Dollar hätten Cyberkriminelle diese primäre Domain registrieren und damit sofort Zugriff auf alle 23.500 infizierten Systeme erhalten können – ideal für die Verteilung von Ransomware oder Botnet-Malware.
Die Huntress-Forscher handelte schneller. Sie registrierten die Domain selbst und “sinkholten” damit die gesamte Kampagne. Bei dieser Analyse stellten sie fest, dass die Malware auf mehr als 23.500 Computern in 124 Ländern vorhanden war. Etwa die Hälfte befand sich in den USA, die andere Hälfte hauptsächlich in wohlhabenden westlichen Ländern. Besonders beunruhigend: Unter den infizierten Systemen waren hochwertige Ziele wie 35 Regierungseinrichtungen, 41 Operational-Technology-Netzwerke, 221 Hochschuleinrichtungen und mehrere Fortune-500-Unternehmen.
Ryan Dowd, Principal SOC Analyst bei Huntress, vermutet, dass viele Installationen aus dem Jahr 2022 stammten und zusammen mit anderen PUPs (Potentially Unwanted Programs) verbreitet wurden. Das deutet darauf hin, dass Adware häufig gebündelt wird und Nutzer oft unwissentlich mehrere schädliche Programme gleichzeitig installieren.
Dr. Augustine Fou, Experte für Ad-Fraud, warnt davor, dass Adware seit langem eine bewährte Methode nutzt, um Malware und Ransomware zu verteilen – durch versteckte Anzeigen. Diese Technik sei besonders effektiv und schwer zu entdecken, da Malware gezielt nach geografischen Standorten geofencet werden kann. Ein Krankenhaus könnte beispielsweise Ziel von Ransomware-haltigen Anzeigen sein, die vor Ärzten während deren Mittagspause angezeigt werden.
Experten raten Unternehmen zu radikalen Maßnahmen: das komplette Blockieren aller Werbung im Netzwerk.