Gleich mehrere IT-Sicherheitsforscher haben eine bösartige Browser-Erweiterung entdeckt, die als ISO-Datei getarnt auf den Rechner kommt. Die Dateien in dem ISO-Abbild installieren nach dem Start anstatt der ursprünglich gesuchten Software in Google Chrome eine Browser-Erweiterung. Diese überträgt Benutzer-Traffic und Suchanfragen anschließend an eine bösartige Werbeseite. Ihre Opfer finden die Cyberkriminellen hinter der Browser-Erweiterung etwa durch Twitter-Einträge, auf Crack-Portalen oder auch über als Vollversion getarnte Torrents. Auch vermeintliche Android-Spiele werden derart mit QR-Codes beworben. Dabei versprechen die Drahtzieher, dass es sich bei der ISO-Datei um eine gecrackte Software oder ein gecracktes Spiel handele. Nach Doppelklick öffnet sich ein ISO als virtuelles Laufwerk. Die Namen der ausführbaren Datei darin sollen sich an das ursprünglich gesuchte Programm anlehnen. Den IT-Sicherheitsforschern von Red Canary zufolge legt die Datei bei Ausführung eine geplante Aufgabe an. Diese Aufgabe besteht aus einem Base64-kodierten PowerShell-Skript. Es lädt die ChromeLoader-Browser-Erweiterung herunter, sofern es sie noch nicht vorfindet. Sobald das Skript die Erweiterung entdeckt, entfernt es die geplante Aufgabe wieder. Sobald die bösartige Erweiterung installiert ist, leitet sie Suchverkehr auf eine eigentlich dafür unerwünschte Seite um. Versuchten Nutzer, im Browser die Seite mit den installierten Erweiterungen aufzurufen, um die Malware zu entfernen, leitet ChromeLoader sie von der Seite weg. Um die Erweiterung loszuwerden, verweisen die IT-Sicherheitsforscher von Malwarebytes in ihrer Analyse auf Googles Anleitung zum Zurücksetzen der Browser-Einstellungen und weiteren Reinigungsmethoden. Den Forschern von Red Canary zufolge hat Gdata bereits vor einiger Zeit ähnliche Malware und Methoden zur Verbreitung beobachtet und Choziosi Loader genannt. Davon ausgehend fanden die Autoren eine Malware-Version, die den Chrome- und Safari-Browser unter macOS infizieren kann. Anstatt in einer ISO-Datei ist die Malware jedoch in DMG-Abbildern verpackt, die unter macOS zur Installation von Software geläufig sind. Zudem nutzt ChromeLoader auf Macs kodierte Bash-Skripte zur Installation anstatt PowerShell. Die Malwarebytes-Forscher schließen daraus, dass die Suche nach gecrackter Software wie Vollversionen von Spielen ein hohes Risiko für Nutzer darstellt. Viele Malware-Seiten, die sich als „echte“ Crack-Portale tarnten, seien schwer zu erkennen. Auch das Herunterladen von Torrents gleiche einem Würfelspiel mit der „Gesundheit“ des Rechners. Sonderangebote von Spielen und Produkten seien recht üblich, es lohne sich daher, gegebenenfalls auf solch ein reguläres günstigeres Angebot eines Herstellers zu warten.