Crashfix: Adblocker bringt Browser absichtlich zum Absturz
Sicherheitsforscher von Huntress warnen vor einer Adblocker-Erweiterung namens Nexshield für Chromium-basierte Browser. Primärziel dieses Add-ons ist es offenbar nicht, Werbeanzeigen zu blockieren, sondern Schadcode zu verbreiten. Laut Blogbeitrag der Forscher(öffnet im neuen Fenster) wird dafür gezielt der Browser zum Absturz gebracht, um anschließend eine vermeintliche Lösung zu servieren.
Nexshield ist den Angaben zufolge ein Klon des beliebten Werbeblockers uBlock Origin Lite. Der Nexshield-Entwickler hat diesem lediglich einen neuen Namen gegeben und ein paar Zeilen Schadcode ergänzt. Einige davon führen den besagten Absturz herbei, indem das System durch eine Endlosschleife in einer Funktion namens makeBatch überlastet wird.
Damit der Crash nicht direkt mit Nexshield in Verbindung gebracht wird, erfolgt die Ausführung der Schleife erst 60 Minuten nach der Installation. Der Code erzeugt nach Angaben der Forscher ein unbegrenzt wachsendes Array aus Port-Objekten. Das führe durch die erhöhte CPU-Last und die zunehmende Speicherauslastung zunächst zu spürbaren Verzögerungen bei der Bedienung des Webbrowsers. Danach komme der Absturz.
Nutzer triggern Infektionskette selber
Nach dem Crash folgt dann der eigentliche Angriff. Wird der Browser neu gestartet, so erscheint eine Meldung, die darauf hinweist, dass die Anwendung unerwartet beendet wurde. Um eine "Kompromittierung der Browserdaten" zu verhindern, wird dem Anwender empfohlen, einen "Scan" zu starten. Stimmt der Nutzer zu, so erscheint eine zweite Meldung, die einen manuellen Fix empfiehlt.
Dieser angebliche Fix besteht aus einer Reihe von Tastenkombinationen, die darauf abzielen, über das Ausführen-Fenster von Windows einen in der Zwischenablage gespeicherten Befehl abzusetzen. Dieser Angriffsvektor ist unter dem Namen Clickfix bekannt und wurde zuletzt auch in Verbindung mit gefälschten Bluescreens beobachtet . Die Huntress-Forscher nennen ihre Entdeckung analog dazu Crashfix.
Führt der Anwender den bösartigen Befehl aus, so wird eine Infektionskette in Gang gesetzt. An deren Ende steht die Installation eines Remote-Access-Trojaners (RAT) namens ModeloRAT, der den Angreifer weiteren Schadcode nachladen und Befehle ausführen lässt und ihm damit die vollständige Kontrolle über das infizierte System verleiht.
Risiko nicht zu unterschätzen
Nexshield wurde den Angaben zufolge von einem Cyberakteur namens Kongtuke über Google Ads verbreitet und Anwendern vorgeschlagen, die bei Google aktiv nach Werbeblockern gesucht haben. Im Chrome Web Store ist die bösartige Erweiterung mittlerweile nicht mehr verfügbar. Es ist allerdings nicht auszuschließen, dass die von Huntress beobachtete Malware-Kampagne künftig unter einem anderen Namen weiterläuft.
Clickfix-Attacken sind für technisch versierte Anwender in der Regel leicht erkennbar. Dass Anwendungen nach dem Absturz dazu aufrufen, manuell einen kopierten Befehl abzusetzen, ist ungewöhnlich. Dennoch scheinen Cyberkriminelle damit Erfolg zu haben, denn die Angriffstechnik kommt immer häufiger(öffnet im neuen Fenster) zum Einsatz(öffnet im neuen Fenster) . Unternehmen sollten daher in Erwägung ziehen, insbesondere ihre nicht-IT-affinen Mitarbeiter vor derartigen Attacken zu warnen.