Mit der Veröffentlichung des Arc-Webbrowsers für Windows hat eine neue Welle bösartiger Google-Anzeigen Nutzer dazu verleitet, trojanisierte Installationsprogramme herunterzuladen, die sie mit Malware infizieren.

Der Arc-Browser ist ein neuartiger Webbrowser, der sich durch sein kreatives Design der Benutzeroberfläche von anderen Browsern abhebt. Er wurde im Juli 2023 für macOS veröffentlicht und seine kürzliche Veröffentlichung für Windows wurde mit Spannung erwartet, nachdem er von Anwendern und Fachzeitschriften positiv aufgenommen wurde.

Cyberkriminelle zielen darauf ab, Arc auf Windows zu bringen

Laut einem Bericht von Malwarebytes haben sich Cyberkriminelle auf die Produkteinführung vorbereitet, indem sie bösartige Anzeigen in der Google-Suche platziert haben, um die Nutzer zum Herunterladen des neuen Webbrowsers zu verleiten.

Bedrohungsakteure können Anzeigen mit echten URLs von der Google-Anzeigenplattform entfernen. Dies ist ein ernstes Problem, das ausgenutzt wurde, um YouTube, Amazon, WebEx, Whales Market und WebEx selbst anzugreifen.

Malwarebytes hat entdeckt, dass die beworbenen Ergebnisse für die Suchbegriffe „arc installer“ und „arc browser windows“ die korrekte Arc-URL anzeigen.

Wenn Benutzer jedoch auf die Werbung klicken, werden sie auf mit Tippfehlern versehene Domains weitergeleitet, die das Aussehen der eigentlichen Website imitieren.

Eine trojanisierte Installationsdatei wird von der MEGA-Hosting-Plattform heruntergeladen, wenn die Schaltfläche „Download“ angeklickt wird. Diese Datei lädt dann eine zusätzliche bösartige Nutzlast von einer externen Quelle namens „bootstrap.exe“ herunter.

Darüber hinaus wird die API von MEGA missbraucht, wenn operative Daten und Anweisungen für Befehls- und Steuerungsoperationen (C2) gesendet und empfangen werden.

Das Installationsprogramm lädt eine PNG-Datei herunter, die bösartigen Code enthält, kompiliert ihn und legt dann „JRWeb.exe“, die letzte Nutzlast, auf dem Computer des Opfers ab.

Malwarebytes entdeckte auch eine zusätzliche Infektionskette, bei der das Installationsprogramm über eine ausführbare Python-Datei Code in msbuild.exe einschleust und Befehle zur Ausführung von einer externen Website anfordert.

Darüber hinaus vermuten die Analysten, auch wenn dies noch nicht feststeht, dass ein Info-Stealer die letzte Nutzlast in diesen Angriffen sein wird.

Es ist unwahrscheinlich, dass das Opfer merkt, dass es mit Malware infiziert wurde, da die bösartigen Dateien im Hintergrund laufen und der Arc-Browser wie vorgesehen auf dem Computer installiert ist.

Obwohl dies nicht neu ist, nutzen Bedrohungsakteure die Aufregung um die Veröffentlichung neuer Software oder Spiele, um Malware zu verbreiten, immer noch recht erfolgreich.

Bei der Suche nach Software, die Sie herunterladen möchten, sollten Sie alle gesponserten Suchergebnisse vermeiden, Werbeblocker verwenden, um diese Ergebnisse auszublenden, und die offiziellen Projekt-Websites zur späteren Verwendung in ihren Lesezeichen speichern.

Vergewissern Sie sich schließlich, dass die Domänen, von denen Sie Installationsprogramme herunterladen möchten, legitim sind, und scannen Sie die heruntergeladenen Dateien mit einem aktuellen Antivirenprogramm, bevor Sie sie ausführen.