Sicherheitsforscher haben eine besorgniserregende Kampagne entdeckt, in der eine Reihe von Programmen, die im Prinzip als potenziell unerwünschte Software (PUP) aufgeführt sind, nicht nur Anzeigen gezeigt: es versteckte eine Update-Kette, die in der Lage ist, Payloads, die mit SYSTEM Privilegien und linke Ausrüstung ohne Antivirenschutz laufen, einzuführen. Laut den Teams, die den Fall analysierten, versuchten an einem Tag mehr als 23.500 Teams in 124 Ländern, die Infrastruktur des Betreibers zu kontaktieren, darunter Hunderte in hochwertigen Netzwerken wie Universitäten, öffentliche Dienstleister, Verwaltungen und Gesundheitszentren.
Was als Adware begann, endete wie ein Verteidigungsdeaktivator. Die analysierten Proben wurden digital von einem Unternehmen unter dem Namen Dragon Boss Solutions LLC unterschrieben und angeblich "Browser" (Namen wie Chromstera, Chromnius, WorldWideWeb, Web Genius oder Artificius Browser) gefördert, die in der Praxis von mehreren Sicherheitslösungen wie PUP entdeckt wurden. Die Analyse ergab, dass diese Installateure einen kommerziellen Update-Mechanismus - entwickelt mit dem Advanced Installer-Tool -, die MSI- und PowerShell-Skripte in völlig ruhiger Weise herunterladen und installieren könnte und mit Berechtigungsheben. Weitere Informationen zu Advanced Installer in Ihrer offiziellen Dokumentation: https: / / www.advancedinstaller.com / user-guide / tutorial-update.html.
Der von diesem Mechanismus heruntergeladene Remote-Installer wurde camouflaged (z.B. eine Setup.msi-Datei als Bild dargestellt) und, obwohl auf Community-Analyse-Plattformen wie VirusTotal nur von einigen Detektoren angezeigt wird, seine Inhalte enthalten legitime Komponenten verwendet von Advanced Installer und auch eine Konfigurationsdatei mit benutzerdefinierten Aktionen. Bevor die MSI ihre Hauptlast einsetzte, hat sie eine Team-Erkennung durchgeführt: Es hat geprüft, ob der Prozess mit administrativen Privilegien durchgeführt wurde, ob die Umgebung eine virtuelle Maschine war, ob sie Zugang zum Internet hatte und welche Antiviren-Lösungen im Register vorhanden waren (Forscher sahen Kontrollen an Produkte von Herstellern wie Malharebytes, Kaspersky, McAfee und ESET).
Die Deaktivierungsroutine wurde in einem PowerShell-Skript erstellt, das von Analysten wie ClockRemoval.ps1 benannt wurde, die an mehreren Standorten untergebracht und zum Start des Systems konfiguriert wurde, zu Beginn der Sitzung und periodisch jede halbe Stunde. Dieses Skript beschränkte sich nicht auf das Stoppen von Prozessen oder Dienstleistungen: es versuchte, Sicherheitsprodukte still zu deinstallieren, gelöschte zugehörige Ordner und Log-Einträge, Zwangsentfernung, wenn Deinstallateure fehlgeschlagen und blockierte die Neuinstallation oder Aktualisierung von Lieferanten durch Änderung der Host-Datei oder Löschung ihrer Domains (Umleitung auf 0,0.0). Darüber hinaus schien der Angreifer zu vermeiden Interferenzen mit legitimen Browser-Installatoren - wie Chrome, Edge, Firefox oder Opera -, um die Beharrlichkeit seiner Modifikationen und Anzeigen zu gewährleisten.
Ein kritisches Detail in diesem Vorfall ist, dass die wichtigsten Domänen, die von der Update-Funktionalität verwendet wurden, vom Betreiber nicht registriert wurden; dass Tausende von Teams auf der Suche nach Anweisungen in Domain-Namen, die frei gelassen wurden verlassen. Die Forscher nutzten diese Situation, um die Haupt-Domain zu registrieren, die es ihnen erlaubte, Zehntausende von ausgehenden Verbindungen von kompromittierten Maschinen zu beobachten und zu verhindern, dass ein Dritter die Domäne übernimmt und willkürliche Aufträge oder Nutzlasten an bereits ungeschütztes feindliches sendet. Diese Art der Übernahme der Update-Domain ist eine heikle defensive Intervention, die bereits in früheren Untersuchungen verwendet wurde, um eine weitere Eskalation zu verhindern.
Der von Analysten identifizierte Umfang umfasste Hunderte von Teams in strategischen Netzwerken: ein wichtiges Volumen in akademischen Institutionen in verschiedenen Regionen, Industrie- und Verkehrsleitsysteme, öffentliche Verwaltungen und einige Gesundheitsumgebungen. Obwohl zum Zeitpunkt der Ermittlung der Hauptlast auf die Ableitung von Sicherheitslösungen und die Erzeugung von Einnahmen aus der Werbung konzentriert war, warnen die Forscher, dass der Infrastruktur- und Liefermechanismus jedes Netzwerk in Gefahr bringen könnte: Wenn ein schädlicher Schauspieler die Kontrolle über die Update-Domain nahm, könnte es viel schädlicher Software auf Tausende von Maschinen verteilen, die nicht mehr aktiven Schutz haben.
Für IT-Teams und Vorfälle bieten veröffentlichte Analysen praktische Indikatoren, die sofort überprüft werden sollten: um nach Prozessen zu suchen, die von Dragon Boss Solutions LLC unterzeichnet wurden, Abonnements von WMI-Veranstaltungen mit Ketten wie "MbRemoval" oder "MbSetup" zu prüfen und geplante Aufgaben zu überprüfen, die Namen wie "WMiload" oder "ClockRemoval" beziehen. Es wird auch empfohlen, die Host-Datei auf der Suche nach Einträgen zu prüfen, die Security Provider-Domains blockieren und Microsoft Defender-Ausschlüsse auf ungewöhnliche Routen überprüfen (z.B. Einträge, die mit "DGoogle", "EMicrosoft" oder "DDapps") beginnen. Um besser zu verstehen, wie Ausschlüsse in Defender zu verwalten, sehen Sie bitte die offizielle Microsoft-Dokumentation: https: / / learn.microsoft.com.
Während die technische Beschreibung komplex klingen kann, ist die zentrale Idee einfach: Eine Komponente, die zunächst harmlos erscheint, kann eine leistungsfähige Hintertür werden, wenn sie einen Update-Mechanismus mit hohen Berechtigungen und Remote-Zugang beinhaltet. Daher müssen Organisationen über Punkterkennung und -entfernung ihre digitale Hygiene stärken: zu kontrollieren, welche Unternehmen und Lieferanten Software installieren dürfen, die Aufhebung von Privilegien durch Richtlinien zu begrenzen, ihre Aktualisierungskanäle zu überwachen und Antwortverfahren zu erhalten, die sie zu wiederherstellen Maschinen, die ihre Verteidigung verloren haben.
Zu den öffentlichen Berichten dieses Vorfalls gehören die Arbeit des Unternehmens, das es entdeckte und die Berichterstattung in spezialisierten Medien. Um den ursprünglichen Anmerkungen und technischen Analysen zu folgen, siehe die Hauptseite von Huntress, die das Unternehmen war, das den Fall untersuchte, sowie Mittel, die die zusätzlichen Informationen und Zusammenhänge gesammelt haben: http://www.huntress.com/ und der technische Forschungsleiter BlepingComputer. Die im Test verwendete MSI-Datei erscheint in VirusTotal und kann von der Analyse-Plattform untersucht werden: VirusTotal: MSI hash. Für allgemeine Informationen über die Folgen von Änderungen an der Host-Datei und warum Angreifer es verwenden, um Updates zu blockieren, ist Microsoft technische Dokumentation eine Referenzressource: die Hosts-Datei unter Windows bearbeiten.
Kurz gesagt, dieser Fall erinnert daran, dass bösartige Schauspieler nicht immer brauchen, um komplexe Trojaner von Anfang an zu implementieren: manchmal ist es genug mit einem signierten Software-Stück, die einen legitimen Aktualisierungsmechanismus missbraucht, um die Lichter eines Netzwerks abzuschalten und den Boden für große Bedrohungen vorzubereiten. Die Aufrechterhaltung der Software-Steuerung, die Überwachung ungewöhnlicher Update-Muster und die schnelle Reaktion auf Zeichen der AV-Deaktivierung sind Maßnahmen, die heute eine Krise vermeiden können morgen.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...
PinTheft die öffentliche Explosion, die Ihnen Wurzel auf Arch Linux geben könnte
Eine neue öffentliche Explosion hat die Fragilität des Linux-Privileg-Modells wieder auf die Oberfläche gebracht: Das V12-Sicherheitsteam nannte den Ausfall als PinTheater und v...