ChromeLoader

ChromeLoader-appen er blevet klassificeret som en browser hijacker. Som sådan er dets mål at tage kontrol over flere vigtige webbrowserindstillinger for at generere kunstig trafik mod promoverede sider eller levere uønskede og utroværdige annoncer til systemet. Annoncer forbundet med browserkaprere, adware eller andre PUP'er (potentielt uønskede programmer) promoverer ofte påtrængende softwareprodukter, fupwebsteder, falske giveaways, phishing-portaler, mistænkelige voksenspil eller voksenorienterede websteder.

Mens ChromeLoader besidder alle disse typiske browser hijacker-funktioner, er den også udstyret med nogle iøjnefaldende funktioner. Detaljer om ansøgningen blev afsløret for offentligheden i en rapport fra cybersikkerhedsforskerne på Red Canary. Ifølge deres resultater viser ChromeLoader omfattende brug af PowerShell.

Infektion vektor

Applikationen er spredt som et beskadiget ISO-arkiv. Denne ISO-fil er forklædt som en cracket eksekverbar til populære videospil eller kommerciel software. Det er højst sandsynligt, at brugere, der besøger websteder, der spreder crackede versioner af sådanne produkter, sandsynligvis selv har downloadet ChromeLoaders fil.

Når den udføres, vil ISO-filen blive monteret på systemet som et virtuelt cd-rom-drev. For at opretholde illusionen om, at den tilhører den forventede crackede software eller spillet, indeholder filen en eksekverbar fil med et navn, der ligner 'CS_Installer.exe.' Det næste trin i angrebskæden involverer at udføre en PowerShell-kommando, der er ansvarlig for at hente et specifikt arkiv fra en fjernplacering. Arkivet vil derefter blive indlæst på systemet som en Google Chrome-udvidelse. Det sidste trin bruger PowerShell igen, men denne gang for at fjerne en tidligere oprettet tidsplanopgave.

Mac-enheder kan blive påvirket

Operatørerne af ChromeLoader har også tilføjet muligheden for at kompromittere Apples Safari-browsere. Det generelle flow af infektionen forbliver det samme, men den indledende ISO-fil er blevet erstattet med den mere almindelige DMG-filtype (Apple Disk Image) på OS-enheder. MacOS-varianten bruger også et bash-script til at hente og dekomprimere ChromeLoader-udvidelsen. Browser flykaprer vil blive droppet i mappen 'private/var/tmp'. For at sikre dens vedholdenhed på Mac, tilføjer ChromeLoader en 'plist'-fil til '/Library/LaunchAgents'.