Forscher haben eine bedeutende Kampagne aufgedeckt, bei der ein digital signiertes Adware-Tool verwendet wurde, um Payloads mit SYSTEM-Privilegien bereitzustellen und damit den Antivirus-Schutz auf Tausenden von Endpunkten effektiv zu deaktivieren. Diese Endpunkte erstrecken sich über verschiedene Sektoren, darunter Bildung, Versorgungsunternehmen, Regierung und Gesundheitswesen. An einem einzigen Tag beobachteten Forscher über 23.500 infizierte Hosts in 124 Ländern, die versuchten, sich mit der Infrastruktur des Betreibers zu verbinden, wobei Hunderte von infizierten Endpunkten in hochwertigen Netzwerken vorhanden waren. ### Mehr als nur Adware Sicherheitsforscher von **Huntress** entdeckten die Kampagne am 22. März und stellten fest, dass signierte ausführbare Dateien, die als potenziell unerwünschte Programme (PUPs) eingestuft wurden, in mehreren verwalteten Umgebungen Alarme auslösten. PUPs werden im Allgemeinen als Belästigung angesehen und generieren hauptsächlich Einnahmen durch Werbung. Diese Kampagne zeigt jedoch eine finsterere Entwicklung. Die Software wurde von einem Unternehmen namens **Dragon Boss Solutions LLC** signiert, das laut Huntress in der "Search Monetization Research" tätig ist und verschiedene Tools wie **Chromstera Browser**, **Chromnius**, **WorldWideWeb**, **Web Genius** und **Artificius Browser** bewirbt. Diese Tools werden von Sicherheitslösungen oft als PUPs gekennzeichnet.  Über die typischen Ärgernisse von Anzeigen und Weiterleitungen hinaus verfügen diese Browser über einen fortschrittlichen Update-Mechanismus, der einen Antivirus-Killer bereitstellt. ### Deaktivierung der Sicherheit Huntress entdeckte, dass die Operation den Update-Mechanismus des kommerziellen Autorentools **Advanced Installer** nutzte, um MSI- und PowerShell-Payloads bereitzustellen. Die Konfigurationsdatei für den Update-Prozess enthielt Flags, die auf einen vollständig stillen Betrieb ohne Benutzerinteraktion hinwiesen. Die Payloads wurden mit erhöhten (SYSTEM) Berechtigungen installiert, was verhinderte, dass Benutzer automatische Updates deaktivieren und häufig nach neuen Updates suchen konnten. Der Update-Prozess ruft eine MSI-Payload (Setup.msi) ab, die als GIF-Bild getarnt ist und auf **VirusTotal** von einer begrenzten Anzahl von Sicherheitsanbietern als bösartig gekennzeichnet wird. Diese MSI-Payload enthält legitime DLLs, die von Advanced Installer für Aufgaben wie die Ausführung von PowerShell-Skripten und die Identifizierung spezifischer Software verwendet werden. Anweisungen für den Installer sind in einer separaten Datei namens '<em>!_StringData</em>' enthalten. Bevor die Haupt-Payload bereitgestellt wird, führt der MSI-Installer eine Aufklärung durch, prüft den Administratorstatus, erkennt virtuelle Maschinen, verifiziert die Internetverbindung und fragt die Registrierung nach installierten Antivirus (AV)-Produkten von **Malwarebytes**, **Kaspersky**, **McAfee** und **ESET** ab. Diese Sicherheitsprodukte werden dann mit einem PowerShell-Skript namens *ClockRemoval.ps1* deaktiviert. .jpg) Das *ClockRemoval.ps1*-Skript wird beim Systemstart, bei der Anmeldung und alle 30 Minuten ausgeführt, um sicherzustellen, dass AV-Produkte entfernt werden, indem Dienste gestoppt, Prozesse beendet, Installationsverzeichnisse und Registrierungseinträge gelöscht, Deinstallationsprogramme von Anbietern stillschweigend ausgeführt und Dateien bei fehlgeschlagenen Deinstallationsprogrammen zwangsweise gelöscht werden. Das Skript blockiert auch Anbieterdomänen, indem es die Hosts-Datei modifiziert und sie null-routed (auf 0.0.0.0 umleitet), um eine Neuinstallation oder Updates der Sicherheitsprodukte zu verhindern. Während der Analyse stellte Huntress fest, dass der Betreiber die Haupt-Update-Domäne (<em>chromsterabrowser[.]com</em>) oder die Fallback-Domäne (<em>worldwidewebframework3[.]com</em>) nicht registriert hatte. Dies ermöglichte es ihnen, die Verbindung von infizierten Hosts zu sinkholzen. Durch die Registrierung der Haupt-Update-Domäne beobachtete Huntress, wie "Zehntausende von kompromittierten Endpunkten nach Anweisungen suchten, die in den falschen Händen alles hätten sein können." Basierend auf IP-Adressen identifizierten Forscher 324 infizierte Hosts in hochwertigen Netzwerken: * 221 akademische Einrichtungen in Nordamerika, Europa und Asien * 41 Operational Technology (OT)-Netzwerke in den Sektoren Energie und Transport sowie bei Anbietern kritischer Infrastrukturen * 35 städtische Regierungen, Landesbehörden und öffentliche Versorgungsunternehmen * 24 Grund- und weiterführende Bildungseinrichtungen * 3 Organisationen des Gesundheitswesens (Krankenhaussysteme und Anbieter von Gesundheitsleistungen) * Netzwerke mehrerer Fortune 500-Unternehmen BleepingComputer-Versuche, Dragon Boss Solutions zu kontaktieren, waren erfolglos, da deren Website nicht mehr betriebsbereit ist. Huntress warnt, dass der Mechanismus, obwohl das Tool derzeit als AV-Killer fungiert, weitaus gefährlichere Payloads einführen könnte. Sie empfehlen Systemadministratoren, nach WMI-Ereignisabonnements mit "MbRemoval" oder "MbSetup", geplanten Aufgaben mit Verweisen auf "WMILoad" oder "ClockRemoval" und nach Prozessen zu suchen, die von Dragon Boss Solutions LLC signiert wurden. Überprüfen Sie zusätzlich die Hosts-Datei auf Einträge, die AV-Anbieterdomänen blockieren, und prüfen Sie **Microsoft Defender**-Ausschlüsse auf verdächtige Pfade wie "DGoogle", "EMicrosoft" oder "DDapps".