In den letzten Jahren sind die Bedrohungen für die Cybersicherheit zunehmend raffinierter geworden. Eine der neuesten Gefahren verbirgt sich in vermeintlich harmlosen Chrome-Erweiterungen. Laut einer Analyse des Sicherheitsdienstleisters ReasonLabs nutzt ein neu entdeckter Windows-Trojaner eine Reihe solcher kompromittierter Browser-Erweiterungen, um gezielt Nutzerinnen und Nutzer anzugreifen.

Windows-Trojaner verbreitet sich stillheimlich

Die Malware arbeitet auf mehreren Ebenen, von einfacher Adware, die Suchanfragen abfängt, bis hin zu fortschrittlicheren Skripten, die darauf ausgelegt sind, private Daten zu stehlen und nicht autorisierten Code auf dem System des Opfers auszuführen.

„Diese Trojaner-Malware, die seit 2021 existiert, stammt von Imitationen von Download-Websites mit Add-ons für Online-Spiele und Videos“, mahnte ReasonLabs in seiner Veröffentlichung. „Wir haben eine sehr weite Verbreitung der Malware und Erweiterungen beobachtet – insgesamt sind mindestens 300.000 Nutzer von Google Chrome und Microsoft Edge betroffen.“

Die Verbreitung des Windows-Trojaners wird größtenteils durch Malvertising begünstigt – eine Technik, bei der Angreifer Websites bewerben, die bekannte Dienste wie Roblox FPS Unlocker, YouTube, VLC Media Player, Steam und KeePass imitieren. Diese gefälschten Websites verleiten Nutzerinnen und Nutzer dazu, schädliche Software herunterzuladen, wodurch die Verbreitung der Malware weiter vorangetrieben wird.

Auch interessant: Internet-Anbieter gehackt: Angreifer machen Updates zu Viren-Schleudern

Malware macht Updates rückgängig

Die Verantwortlichen haben bemerkenswerten Einfallsreichtum bewiesen, um sicherzustellen, dass sie auf infizierten Systemen bestehen bleibt. Einmal installiert, ist es nahezu unmöglich, die Erweiterung zu deaktivieren, selbst wenn du den Entwicklungsmodus des Browsers aktivierst. Neuere Versionen der Malware gehen sogar noch einen Schritt weiter. Sie können, so ReasonLabs, Browser-Updates rückgängig machen, um die Sicherheitslücken älterer Versionen ausnutzen zu können.

Für Nutzerinnen und Nutzer mit begrenzten technischen Kenntnissen besteht die einzige zuverlässige Möglichkeit zur Entfernung der Malware in einer vollständigen Neuinstallation des Betriebssystems. Jene mit fortgeschrittenen Kenntnissen können jedoch bestimmte Schritte unternehmen, um die Bedrohung manuell zu beseitigen.

Auch interessant: Globaler iPhone-Alarm: Apple warnt Nutzer in 98 Ländern vor Virus

So kannst du dich schützen

Um den Windows-Trojaner sicher zu entfernen, musst du zunächst die geplanten Aufgaben löschen:

1. Öffne das Startmenü und gib „Taskplaner“ ein, um den Taskplaner zu öffnen.
2. Klicke auf „Taskplaner-Bibliothek“, um alle Aufgaben auf deinem Computer anzuzeigen.
3. Suche nach einer Aufgabe, die einen Pfad zu „c:\windows\system32“ und eine Datei mit der Endung „.ps1“ (ein PowerShell-Skript) enthält. Ein Beispiel für eine solche Datei ist „Printworkflowservice.ps1“.
4. Sobald du die bösartige Aufgabe gefunden hast, klicke mit der rechten Maustaste darauf und wähle „Löschen“.

Unternimm anschließend einen Versuch, um auch die entsprechenden Registry-Einträge zu löschen:

1. Öffne das Startmenü und gib „Registry-Editor“ ein, um den Editor zu öffnen.
2. Navigiere zu „Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist“.
3. Im rechten Fensterbereich siehst du eine Liste von Erweiterungen. Klicke mit der rechten Maustaste auf den Namen und wähle „Löschen“.
4. Wiederhole diesen Schritt für den Pfad „Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge\ExtensionInstallForcelist“ für Edge-Erweiterungen.

Zu guter Letzt musst du auch noch die verbliebenen Malware-Dateien löschen:

1. Öffne den Datei-Explorer über das Startmenü.
2. Gehe zu „Dieser PC“ und dann zu „Windows“ (oder dem entsprechenden Laufwerk).
3. Navigiere zu Windows > System32 und suche nach einer PowerShell-Datei, die zu den angegebenen bösartigen Skripten passt. Klicke mit der rechten Maustaste auf die Datei und wähle „Löschen“.
4. Suche in der „Windows“-Ordner nach einem Ordner, dessen Name ebenfalls zu den angegebenen bösartigen Skripten passt. Klicke mit der rechten Maustaste darauf und wähle „Löschen“.

„Benutzer sollten sich mit Antivirensoftware der nächsten Generation wie RAV Endpoint Protection oder fortschrittlichen Sicherheitstools für Endgeräte wie der Browsererweiterung Online Security vor Malware, Identitätsdiebstahl und mehr schützen“, mahnen die Expertinnen und Experten. So kannst du dich von Vornherein besser vor Windows-Trojanern schützen.