ChromeLoader

До Mezo през Mac Malware, Browser Hijackers, Potentially Unwanted Programsг

Превод на:

Приложението ChromeLoader е класифицирано като похитител на браузър. Като такъв, неговата цел е да поеме контрола върху няколко важни настройки на уеб браузъра, за да генерира изкуствен трафик към популяризирани страници или да доставя нежелани и ненадеждни реклами на системата. Рекламите, свързани с похитители на браузъри, рекламен софтуер или други ПУП (потенциално нежелани програми), често популяризират натрапчиви софтуерни продукти, измамни уебсайтове, фалшиви подаръци, фишинг портали, подозрителни игри за възрастни или сайтове, ориентирани към възрастни.

Въпреки че ChromeLoader притежава всички тези типични възможности за отвличане на браузъри, той също така е оборудван с някои открояващи се функции. Подробности за приложението бяха разкрити на обществеността в доклад на изследователите по киберсигурност от Red Canary. Според техните констатации, ChromeLoader показва широко използване на PowerShell.

Вектор на инфекция

Приложението се разпространява като повреден ISO архив. Този ISO файл е маскиран като кракнат изпълним файл за популярни видеоигри или търговски софтуер. Много е вероятно потребителите, които посещават сайтове, разпространяващи кракнати версии на такива продукти, вероятно сами да са изтеглили файла на ChromeLoader.

Когато се изпълни, ISO файлът ще бъде монтиран в системата като виртуално CD-ROM устройство. За да поддържа илюзията, че принадлежи към очаквания кракнат софтуер или игра, файлът съдържа изпълним файл с име, подобно на „CS_Installer.exe“. Следващата стъпка във веригата за атака включва изпълнение на команда PowerShell, отговорна за извличане на конкретен архив от отдалечено място. След това архивът ще бъде зареден в системата като разширение за Google Chrome. Последната стъпка отново използва PowerShell, но този път за премахване на предварително създадена задача по график.

Mac устройствата могат да бъдат засегнати

Операторите на ChromeLoader също са добавили възможността за компрометиране на браузърите Safari на Apple. Общият поток на инфекцията остава същият, но първоначалният ISO файл е заменен с по-често срещания на устройства с ОС DMG (Apple Disk Image) тип файл. Вариантът на macOS също използва bash скрипт за извличане и декомпресиране на разширението ChromeLoader. Похитителят на браузъра ще бъде преместен в директорията 'private/var/tmp'. За да гарантира устойчивостта му на Mac, ChromeLoader добавя файл „plist“ към „/Library/LaunchAgents“.