ChromeLoader
Η εφαρμογή ChromeLoader έχει ταξινομηθεί ως αεροπειρατής του προγράμματος περιήγησης. Ως εκ τούτου, ο στόχος του είναι να αναλάβει τον έλεγχο πολλών σημαντικών ρυθμίσεων του προγράμματος περιήγησης Ιστού για τη δημιουργία τεχνητής κίνησης προς προωθημένες σελίδες ή την παροχή ανεπιθύμητων και αναξιόπιστων διαφημίσεων στο σύστημα. Διαφημίσεις που σχετίζονται με αεροπειρατές προγράμματος περιήγησης, adware ή άλλα PUP (Πιθανώς ανεπιθύμητα προγράμματα) συχνά προωθούν παρεμβατικά προϊόντα λογισμικού, ιστότοπους φάρσας, πλαστά δώρα, πύλες ηλεκτρονικού ψαρέματος, ύποπτα παιχνίδια για ενήλικες ή ιστότοπους που απευθύνονται σε ενήλικες.
Ενώ το ChromeLoader διαθέτει όλες αυτές τις τυπικές δυνατότητες αεροπειρατή του προγράμματος περιήγησης, είναι επίσης εξοπλισμένο με ορισμένες ξεχωριστές λειτουργίες. Λεπτομέρειες σχετικά με την εφαρμογή αποκαλύφθηκαν στο κοινό σε έκθεση των ερευνητών κυβερνοασφάλειας στο Red Canary. Σύμφωνα με τα ευρήματά τους, το ChromeLoader δείχνει εκτεταμένη χρήση του PowerShell.
Διάνυσμα μόλυνσης
Η εφαρμογή διαδίδεται ως κατεστραμμένο αρχείο ISO. Αυτό το αρχείο ISO είναι μεταμφιεσμένο ως σπασμένο εκτελέσιμο αρχείο για δημοφιλή βιντεοπαιχνίδια ή εμπορικό λογισμικό. Είναι πολύ πιθανό οι χρήστες που επισκέπτονται ιστότοπους που διαδίδουν σπασμένες εκδόσεις τέτοιων προϊόντων, πιθανότατα να κατέβασαν οι ίδιοι το αρχείο του ChromeLoader.
Όταν εκτελεστεί, το αρχείο ISO θα προσαρτηθεί στο σύστημα ως εικονική μονάδα CD-ROM. Για να διατηρήσουμε την ψευδαίσθηση ότι ανήκει στο αναμενόμενο σπασμένο λογισμικό ή παιχνίδι, το αρχείο περιέχει ένα εκτελέσιμο αρχείο με όνομα παρόμοιο με το "CS_Installer.exe". Το επόμενο βήμα στην αλυσίδα επίθεσης περιλαμβάνει την εκτέλεση μιας εντολής PowerShell που είναι υπεύθυνη για την ανάκτηση ενός συγκεκριμένου αρχείου από μια απομακρυσμένη τοποθεσία. Στη συνέχεια, το αρχείο θα φορτωθεί στο σύστημα ως επέκταση του Google Chrome. Το τελευταίο βήμα χρησιμοποιεί ξανά το PowerShell, αλλά αυτή τη φορά για να αφαιρέσει μια εργασία χρονοδιαγράμματος που δημιουργήθηκε προηγουμένως.
Οι συσκευές Mac μπορούν να επηρεαστούν
Οι χειριστές του ChromeLoader έχουν επίσης προσθέσει τη δυνατότητα να παραβιάζουν τα προγράμματα περιήγησης Safari της Apple. Η γενική ροή της μόλυνσης παραμένει η ίδια, αλλά το αρχικό αρχείο ISO έχει αντικατασταθεί με τον πιο κοινό τύπο αρχείου DMG (Apple Disk Image) σε συσκευές OS. Η παραλλαγή macOS χρησιμοποιεί επίσης ένα σενάριο bash για την ανάκτηση και την αποσυμπίεση της επέκτασης ChromeLoader. Ο αεροπειρατής του προγράμματος περιήγησης θα απορριφθεί στον κατάλογο 'private/var/tmp'. Για να διασφαλίσει την εμμονή του στο Mac, το ChromeLoader προσθέτει ένα αρχείο 'plist' στο '/Library/LaunchAgents'.
