ChromeLoader
Aplikace ChromeLoader byla klasifikována jako únosce prohlížeče. Jeho cílem je převzít kontrolu nad několika důležitými nastaveními webového prohlížeče, aby se generoval umělý provoz na propagované stránky nebo aby se do systému doručovaly nežádoucí a nedůvěryhodné reklamy. Reklamy spojené s únosci prohlížečů, adwarem nebo jinými PUP (potenciálně nežádoucími programy) často propagují rušivé softwarové produkty, falešné webové stránky, falešné dárky, phishingové portály, podezřelé hry pro dospělé nebo stránky zaměřené na dospělé.
Přestože ChromeLoader disponuje všemi těmito typickými funkcemi únosce prohlížeče, je také vybaven některými výjimečnými funkcemi. Podrobnosti o aplikaci byly veřejnosti odhaleny ve zprávě výzkumníků kybernetické bezpečnosti z Red Canary. Podle jejich zjištění ChromeLoader vykazuje rozsáhlé využití PowerShellu.
Vektor infekce
Aplikace se šíří jako poškozený ISO archiv. Tento soubor ISO je maskován jako popraskaný spustitelný soubor pro populární videohry nebo komerční software. Je vysoce pravděpodobné, že uživatelé, kteří navštíví stránky šířící cracknuté verze takových produktů, si pravděpodobně sami stáhli soubor ChromeLoader.
Po spuštění bude soubor ISO připojen k systému jako virtuální jednotka CD-ROM. Aby byla zachována iluze, že patří k očekávanému cracknutému softwaru nebo hře, soubor obsahuje spustitelný soubor s názvem podobným 'CS_Installer.exe.' Další krok v řetězci útoků zahrnuje provedení příkazu PowerShell odpovědného za načtení konkrétního archivu ze vzdáleného umístění. Archiv se poté načte do systému jako rozšíření Google Chrome. Poslední krok znovu používá PowerShell, ale tentokrát k odstranění dříve vytvořené plánovací úlohy.
Zařízení Mac mohou být ovlivněna
Operátoři ChromeLoader také přidali možnost kompromitovat prohlížeče Safari společnosti Apple. Obecný průběh infekce zůstává stejný, ale původní soubor ISO byl nahrazen běžnějším typem souboru DMG (Apple Disk Image) na zařízeních s operačním systémem. Varianta macOS také využívá bash skript k načtení a dekomprimaci rozšíření ChromeLoader. Únosce prohlížeče bude umístěn do adresáře 'private/var/tmp'. Aby ChromeLoader zajistil jeho přetrvávání na Macu, přidá soubor 'plist' do '/Library/LaunchAgents'.
