ChromeLoader

L'aplicació ChromeLoader s'ha classificat com a segrestador de navegadors. Com a tal, el seu objectiu és prendre el control de diverses configuracions importants del navegador web per generar trànsit artificial cap a pàgines promocionades o oferir anuncis no desitjats i poc fiables al sistema. Els anuncis associats a segrestadors de navegadors, adware o altres PUP (programes potencialment no desitjats) sovint promouen productes de programari intrusius, llocs web enganyats, obsequis falsos, portals de pesca, jocs per a adults sospitosos o llocs orientats a adults.

Tot i que ChromeLoader té totes aquestes capacitats típiques de segrestadors de navegadors, també està equipat amb algunes funcions destacades. Els detalls sobre l'aplicació es van revelar al públic en un informe dels investigadors de ciberseguretat de Red Canary. Segons les seves troballes, ChromeLoader mostra un ús extensiu de PowerShell.

Vector d'infecció

L'aplicació s'estén com un arxiu ISO corrupte. Aquest fitxer ISO està disfressat com un executable trencat per a videojocs populars o programari comercial. És molt probable que els usuaris que visiten llocs on difonen versions crackejades d'aquests productes probablement hagin baixat ells mateixos el fitxer de ChromeLoader.

Quan s'executa, el fitxer ISO es muntarà al sistema com a unitat de CD-ROM virtual. Per mantenir la il·lusió que pertany al programari o joc craquejat esperat, el fitxer conté un executable amb un nom semblant a "CS_Installer.exe". El següent pas de la cadena d'atac consisteix a executar una ordre de PowerShell responsable d'obtenir un arxiu específic des d'una ubicació remota. Aleshores, l'arxiu es carregarà al sistema com a extensió de Google Chrome. El pas final torna a utilitzar PowerShell, però aquesta vegada per eliminar una tasca de programació creada anteriorment.

Els dispositius Mac es poden veure afectats

Els operadors de ChromeLoader també han afegit la possibilitat de comprometre els navegadors Safari d'Apple. El flux general de la infecció segueix sent el mateix, però el fitxer ISO inicial s'ha substituït pel tipus de fitxer DMG (Imatge de disc d'Apple) més comú en dispositius amb sistema operatiu. La variant de macOS també utilitza un script bash per obtenir i descomprimir l'extensió ChromeLoader. El segrestador del navegador es col·locarà al directori "private/var/tmp". Per garantir la seva persistència al Mac, ChromeLoader afegeix un fitxer "plist" a "/Library/LaunchAgents".