Die Malware “Crusader” manipuliert Suchanfragen im Browser und tauscht offizielle Rufnummern und Kontaktadressen durch gefälschte aus. Anwender tappen in Support-Betrugsfalle!
Leider kommt es immer wieder vor, dass Browsererweiterungen (Plugins) nicht im Sinne des Anwenders arbeiten. So berichten Experten von Bleeping Computer über eine neue Adware-Variante, die unter Umständen den gesamten Datenverkehr des Anwenders kontrolliert und manipuliert.
Es handelt sich hier um die Schadsoftware “Crusader”, die Huckepack als Adware über kostenfreie Software für gängige Browser wie Firefox, Chrome sowie den Internet Explorer verbreitet wird. Integriert im Browser lauscht das Plugin auf diverse Suchanfragen. Unbemerkt vom Anwender werden von der Malware die Inhalte von Webseiten manipuliert, sowie über Popups auf andere Webseiten umgeleitet. Um den Kriminellen ordentlich Geld in die Kassen zu spülen, wird unter anderem Werbung durch eigene Werbe-Anzeigen ersetzt.

Crusader

Bild: bleepingcomputer.com – Erweiterungen (Crusader)

Tech-Support-Scam – Die Falle: Sucht der Anwender beispielsweise nach Sicherheitsfirmen wie Dell und Norton, so manipuliert die Malware die Kontaktdaten der Firma und ersetzt die Rufnummer durch eine Rufnummer der Kriminellen. Ruft der Anwender die gefälschte Rufnummer an, schnappt die Falle zu. Die Kriminellen fahren den Anrufern gegenüber den klassischen “Support Betrug”. Hier sollten Alarmglocken läuten: So versucht der “freundliche” Supporter geschickt, persönliche Kontendaten zu entlocken, kostspielige Software-Abos zu verkaufen bzw. über Fernwartungs-Software den Zugriff auf den Rechner zu erlangen.
Dell-Support

Bild: bleepingcomputer.com – manipulierter Dell-Support

Befehligt wird das Crusader-Plugin über einen in Indien platzierten Command and Controllserver (C&C), der zudem die Konfigurationsdatei bereit hält. Nach Aussagen von Experten zeigen Analysen des Quelltextes unter anderem diverse Codeblocks für weiterführende Funktionen. So scheint das jetzige Plugin noch nicht das Maß der Dinge zu sein. Es ist erkennbar, dass in Zukunft weitere Suchanfragen, wie Hotelanfragen auf eigene affiliate gebunde Ergebnisse umgeleitet werden.
Ist der Rechner infiziert? Die Experten von Bleepingcomputer zeigen, wie Sie die Infektion “Schritt für Schritt” vom Rechner entfernen können.