Ein E-Mail-Anhang führt zur Installation einer schädlichen Chrome . Forschern zufolge handelt es sich dabei um Teil einer Windows , die über eine Phishing-E-Mail verbreitet wird. Die Malware nutzt Chrome Messaging“ aus, um die Kontrolle vom Browser auf das Host-System zu verlagern. Der bemerkenswerteste Trick dabei ist nicht der Phishing-Köder selbst, sondern die Art und Weise, wie die Malware legitime Browser- und Windows nutzt, um PowerShell auszuführen und Daten zu sammeln, während sie sich dabei im Rahmen der erwarteten Arbeitsabläufe bewegt.
Der Angriff beginnt mit einem E-Mail-Anhang, der als PDF getarnt ist. Die Datei trägt die irreführende Dateiendung .pfd.js Es sieht aus wie ein PDF-Dokument, ist aber in Wirklichkeit eine verschleierte JavaScript-Datei, die zusätzliche Dateien im temporären Ordner ablegt und den weiteren Verlauf der Infektionskette in Gang setzt.
Als Teil dieser Kette bereitet ein PowerShell-Skript eine Chrome vor und ändert Chrome , damit die Erweiterung installiert werden kann. Die Malware lässt die Installation so erscheinen, als handele es sich um eine vom Administrator gesteuerte Bereitstellung und nicht um eine normale Installation einer Erweiterung.
Sobald die Erweiterung aktiviert ist, erfassen sie und ihre native Begleitanwendung Browser-Cookies, geöffnete Tabs, URLs, Spracheinstellungen und Fingerabdruckdaten. Die Betreiber nutzen die Konfiguration zudem als Fernsteuerungskanal, über den sie Befehle senden, mit denen PowerShell gestartet und der Inhalt des C: Antrieb.
Mit den gestohlenen authentifizierten Sitzungs-Cookies können die Angreifer aktive Browsersitzungen kapern, anstatt nur Passwörter zu stehlen. Dies ist für sie von größerem Nutzen, da sie so auf Konten zugreifen können, bei denen im Browser des Opfers bereits eine Anmeldung besteht, und dabei die Multi-Faktor-Authentifizierung (MFA) umgehen können.
Der interessanteste Aspekt des Angriffs ist der Missbrauch von Chrome Messaging“ als Brücke zwischen der Browser-Sandbox und dem Betriebssystem. Chrome Erweiterungen, mit einem registrierten nativen Host zu kommunizieren, und die Angreifer haben diese legitime Funktion missbraucht, um die Erweiterung als Steuerelement für die lokale Codeausführung zu nutzen. Die Erweiterung startet PowerShell nicht direkt. Stattdessen sendet sie Nachrichten an den nativen Host, der dann PowerShell auf dem Host-System startet oder mit diesem interagiert.
Wie man sicher bleibt
Die erste Schutzmaßnahme gegen Angriffe dieser Art besteht darin, E-Mail-Anhänge nicht zu öffnen, es sei denn, Sie können den Absender überprüfen. Außerdem:
- Überprüfen Sie stets die tatsächliche Dateiendung, anstatt sich auf den angezeigten Dateinamen zu verlassen.
- Verwenden Sie eine aktuelle Anti-Malware-Lösung mit Echtzeit-Schutz, um böswillige Aktivitäten zu erkennen und zu blockieren.
- Überprüfen Sie die auf Ihrem Gerät installierten Chrome und entfernen Sie alle, die Sie nicht kennen oder nicht mehr verwenden.
- Um ganz auf Nummer sicher zu gehen, melden Sie sich von wichtigen Konten ab, wenn Sie fertig sind. Dadurch wird Ihre Sitzung ungültig, sodass selbst jemand, der Ihr Sitzungs-Cookie gestohlen hat, damit keinen Zugriff auf Ihr Konto erlangen kann.
- Überprüfen Sie regelmäßig den Anmeldeverlauf wichtiger Konten. Bei vielen Online-Diensten können Sie einsehen, welche Geräte sich wann und von wo aus angemeldet haben.
IOCs
Anhang:
Fattura-2819889242.pfd.js (angezeigt als Fattura-26189991026.pdf)
Schädliche Dateien:
client_124578.exe
d3d11.dll
Chrome :
Name: Cloud vn105rkj64
ID: gghagmhimhgfeajfdmjkgmmehbokmglg
Domäne:
ext2[.]info
Dies wird blockiert durch Malwarebytes Browser Guardblockiert, unserer kostenlosen Browser-Erweiterung, die Werbung, Tracker, Malware und vieles mehr blockiert.
![Browser Guard ext2[.]info](https://www.malwarebytes.com/wp-content/uploads/sites/2/2026/06/ext2infoblock.png)
Wir berichten nicht nur über Bedrohungen - wir beseitigen sie
Cybersecurity-Risiken sollten nie über eine Schlagzeile hinausgehen. Laden Sie noch heute Malwarebytes herunter, um Bedrohungen von Ihren Geräten fernzuhalten.
