ChromeLoader
تم تصنيف تطبيق ChromeLoader على أنه مخترق متصفح. على هذا النحو ، فإن هدفها هو السيطرة على العديد من إعدادات مستعرض الويب المهمة لتوليد حركة مرور اصطناعية نحو الصفحات التي يتم الترويج لها أو تقديم إعلانات غير مرغوب فيها وغير جديرة بالثقة للنظام. غالبًا ما تروّج الإعلانات المرتبطة بمخترقي المستعرضات أو برامج الإعلانات المتسللة أو برامج PUP الأخرى (برامج غير مرغوب فيها) لمنتجات البرامج المتطفلة أو مواقع الويب الخادعة أو الهدايا المزيفة أو بوابات التصيد الاحتيالي أو ألعاب البالغين المشبوهة أو المواقع الموجهة للبالغين.
بينما يمتلك ChromeLoader كل إمكانيات متصفح الخاطفين النموذجية هذه ، إلا أنه مزود أيضًا ببعض الميزات البارزة. تم الكشف عن تفاصيل حول التطبيق للجمهور في تقرير صادر عن باحثي الأمن السيبراني في Red Canary. وفقًا لنتائجهم ، يُظهر ChromeLoader استخدامًا مكثفًا لـ PowerShell.
ناقل العدوى
ينتشر التطبيق كأرشيف ISO تالف. يتنكر ملف ISO هذا كملف تنفيذي متصدع لألعاب الفيديو الشائعة أو البرامج التجارية. من المحتمل جدًا أن المستخدمين الذين يزورون المواقع التي تنشر إصدارات متصدعة من هذه المنتجات ، ربما قاموا بتنزيل ملف ChromeLoader بأنفسهم.
عند تنفيذه ، سيتم تثبيت ملف ISO على النظام كمحرك أقراص مضغوطة افتراضي. للحفاظ على الوهم بأنه ينتمي إلى البرنامج أو اللعبة المتصدعة المتوقعة ، يحتوي الملف على ملف قابل للتنفيذ باسم مشابه لـ "CS_Installer.exe". تتضمن الخطوة التالية في سلسلة الهجوم تنفيذ أمر PowerShell مسؤول عن جلب أرشيف معين من موقع بعيد. سيتم بعد ذلك تحميل الأرشيف على النظام باعتباره امتدادًا لـ Google Chrome. تستخدم الخطوة الأخيرة PowerShell مرة أخرى ، ولكن هذه المرة لإزالة مهمة جدولة تم إنشاؤها مسبقًا.
يمكن أن تتأثر أجهزة Mac
أضاف مشغلو ChromeLoader أيضًا القدرة على اختراق متصفحات Safari من Apple. يظل التدفق العام للإصابة كما هو ، ولكن تم استبدال ملف ISO الأولي بنوع الملف الأكثر شيوعًا على أجهزة نظام التشغيل DMG (صورة قرص Apple). يستخدم متغير macOS أيضًا نصًا برمجيًا bash لجلب امتداد ChromeLoader وفك ضغطه. سيتم إسقاط متصفح الخاطف في دليل "private / var / tmp". لضمان استمراره على نظام التشغيل Mac ، يضيف ChromeLoader ملف "plist" إلى "/ Library / LaunchAgents".
