Neue Google Chrome-Malware mit Sneaky Payload stiehlt Benutzeranmeldeinformationen

Cybersecurity-Unternehmen durchsuchen ständig die Online-Umgebung nach neuen Malware-Bedrohungen, die die Privatsphäre der Benutzer gefährden könnten, und um die typischen Verteilungsvektoren zu verstehen, mit denen solche Angriffe durchgeführt werden. Kürzlich sind Forscher auf eine neue Malware gestoßen, die stark anderen bereits bekannten Anmeldeinformationen ähnelt, die Bedrohungen stehlen. Das analysierte Beispiel scheint jedoch nicht nur insofern einzigartig zu sein, als es speziell auf den Google Chrome-Browser abzielt, im Gegensatz zu anderen bekannten Bedrohungen, die auf alle gängigen Internetbrowser abzielen, sondern auch auf die von ihm verwendete Technologie. Diese neue Bedrohung ist nicht verschleiert und sollte theoretisch durch Anti-Malware-Lösungen blockiert werden. Antivirensoftware erkennt sie jedoch in den meisten Fällen nicht einmal, was für Malware-Analysten sehr verwirrend ist.

Die Infektion mit diesem neuen Werkzeug zur Ernte von Anmeldeinformationen erfolgt mithilfe einer einfachen Pipette . Dieser Dropper erstellt einen Ordner \ temp im aktuellen Pfad, der ungefähr 6 MB groß ist und zum übergeordneten Ordner der Malware wird. In diesem neuen Ordner erstellt der Dropper ein einfaches Skript mit dem Namen "death.bat", das das Verzeichnis / temp löscht. Anschließend erstellt der Dropper sechs weitere Dateien im übergeordneten Ordner, die aus fünf DLL-Dateien und einer Binärdatei mit dem Namen "virus.exe" bestehen, die scheinbar cURL verwendet. Forscher weisen darauf hin, dass es nicht viele andere Malware-Bedrohungen gibt, die cURL verwenden, was die neue Bedrohung wirklich interessant macht. Darüber hinaus sind die Dateinamen der Malware klar und es wird keine Verschleierung oder Verschlüsselung verwendet. Nach dem Füllen des übergeordneten Ordners führt die Malware die Binärdatei "virus.exe" aus, während das Stapelskript, das alle Spuren der Malware löscht, fünf Sekunden später ausgeführt wird. Als nächstes erscheint ein Meldungsfeld mit einer allgemeinen Fehlermeldung, um den Benutzer zu täuschen.

Die Analyse der Hauptnutzlast der Malware zeigt, dass sie eine echte Bedrohung für die Privatsphäre der Benutzer darstellt. Google Chrome speichert nicht nur Nutzernamen und Passwörter, sondern auch Kreditkartendaten. Ein normaler Benutzer benötigt keine Administratorrechte, um auf die Chrome-Datei zuzugreifen, in der der Browser die Anmeldeinformationen speichert. Dies bedeutet, dass die Malware kein Tool zur Erhöhung der Berechtigungen für den Zugriff auf diese Datei benötigt. Chrome-Anmeldeinformationen werden in einer SQLite-DB-Datei gespeichert. Um den Schutzmechanismus des Browsers zu umgehen, bricht die Malware nur bestimmte Chrome-Prozesse ab, öffnet dann die DB-Datei, führt mehrere SQL-Abfragen durch und liest die in der Datei enthaltenen Informationen. Anschließend werden die Daten gespeichert und über cURL an das Google Form der Malware gesendet. In diesem Fall wird die kostenlose webbasierte App Google Forms von Angreifern zum Sammeln und Speichern gestohlener Daten missbraucht.

Aufgrund des Betriebsablaufs kann diese neue Bedrohung nicht als Mitglied einer bekannten Malware-Familie identifiziert werden, die Chrome-Anmeldeinformationen stiehlt. Es ist sehr clever, leise und schnell, erstellt keine Dateien auf der Festplatte, ändert die Registrierung nicht und verursacht insgesamt keinen Schaden auf dem infizierten Computer. Andererseits ist es schwer zu fangen, da es cURL und Google Forms verwendet, und es ist in jedem Fall eine ernsthafte Bedrohung für die Privatsphäre des Benutzers, da es sensible Daten wie Passwörter und Kreditkartennummern sammelt.