ChromeLoader
ChromeLoaderi rakendus on klassifitseeritud brauseri kaaperdajaks. Sellisena on selle eesmärk võtta kontrolli alla mitmed olulised veebibrauseri seaded, et tekitada kunstlikku liiklust reklaamitud lehtedele või edastada süsteemi soovimatuid ja ebausaldusväärseid reklaame. Brauserikaaperdajate, reklaamvara või muude PUP-ide (potentsiaalselt soovimatute programmidega) seotud reklaamid reklaamivad sageli pealetükkivaid tarkvaratooteid, pettusveebisaite, võltsitud kingitusi, andmepüügiportaale, kahtlasi täiskasvanutele mõeldud mänge või täiskasvanutele suunatud saite.
Kuigi ChromeLoaderil on kõik need tüüpilised brauserikaaperdamise võimalused, on sellel ka mõned silmapaistvad funktsioonid. Rakenduse üksikasjad avaldati avalikkusele Red Canary küberjulgeoleku teadlaste aruandes. Nende leidude kohaselt kasutab ChromeLoader PowerShelli laialdaselt.
Nakkuse vektor
Rakendus levib rikutud ISO-arhiivina. See ISO-fail on maskeeritud populaarsete videomängude või kommertstarkvara mõranenud täitmisfailina. On väga tõenäoline, et kasutajad, kes külastavad selliste toodete krakitud versioone levitavaid saite, laadisid ChromeLoaderi faili tõenäoliselt ise alla.
Kui see käivitatakse, paigaldatakse ISO-fail süsteemi virtuaalse CD-ROM-draivina. Et säilitada illusiooni, et see kuulub eeldatavale murtud tarkvarale või mängule, sisaldab fail käivitatavat faili, mille nimi on sarnane CS_Installer.exe-ga. Rünnakuahela järgmine samm hõlmab PowerShelli käsu täitmist, mis vastutab konkreetse arhiivi toomise eest kaugkohast. Seejärel laaditakse arhiiv süsteemi Google Chrome'i laiendusena. Viimane samm kasutab uuesti PowerShelli, kuid seekord varem loodud ajakava ülesande eemaldamiseks.
Maci seadmeid võib mõjutada
ChromeLoaderi operaatorid on lisanud ka võimaluse kahjustada Apple'i Safari brausereid. Nakkuse üldine levik jääb samaks, kuid esialgne ISO-fail on asendatud OS-i seadmetes tavalisema DMG (Apple Disk Image) failitüübiga. MacOS-i variant kasutab ChromeLoaderi laienduse toomiseks ja lahtipakkimiseks ka bash-skripti. Brauserikaaperdaja kukutatakse 'private/var/tmp' kataloogi. Selle püsivuse tagamiseks Macis lisab ChromeLoader kausta „/Library/LaunchAgents” faili „plist”.
