ChromeLoader

ChromeLoader

برنامه ChromeLoader به عنوان هکر مرورگر طبقه بندی شده است. به این ترتیب، هدف آن کنترل چندین تنظیمات مهم مرورگر وب برای ایجاد ترافیک مصنوعی به سمت صفحات تبلیغ شده یا ارائه تبلیغات ناخواسته و غیرقابل اعتماد به سیستم است. تبلیغات مرتبط با ربایندگان مرورگر، ابزارهای تبلیغاتی مزاحم یا PUP های دیگر (برنامه های بالقوه ناخواسته) اغلب محصولات نرم افزاری مزاحم، وب سایت های جعلی، هدایای جعلی، پورتال های فیشینگ، بازی های مشکوک بزرگسالان یا سایت های بزرگسالان را تبلیغ می کنند.

در حالی که ChromeLoader همه این قابلیت‌های معمولی هکر مرورگر را دارد، به برخی از ویژگی‌های برجسته نیز مجهز است. جزئیات این اپلیکیشن در گزارشی توسط محققان امنیت سایبری در Red Canary برای عموم فاش شد. بر اساس یافته های آنها، ChromeLoader استفاده گسترده ای از PowerShell نشان می دهد.

ناقل عفونت

برنامه به عنوان یک آرشیو ISO خراب پخش می شود. این فایل ISO به عنوان یک فایل اجرایی کرک شده برای بازی های ویدیویی محبوب یا نرم افزارهای تجاری پنهان شده است. به احتمال زیاد کاربرانی که از سایت‌هایی بازدید می‌کنند که نسخه‌های کرک شده این محصولات را منتشر می‌کنند، احتمالاً خودشان فایل ChromeLoader را دانلود کرده‌اند.

پس از اجرا، فایل ISO به عنوان درایو CD-ROM مجازی روی سیستم نصب می شود. برای حفظ این توهم که متعلق به نرم افزار یا بازی مورد انتظار کرک شده است، فایل حاوی یک فایل اجرایی با نامی شبیه به "CS_Installer.exe" است. مرحله بعدی در زنجیره حمله شامل اجرای یک فرمان PowerShell است که مسئول واکشی یک آرشیو خاص از یک مکان راه دور است. سپس بایگانی به عنوان افزونه Google Chrome در سیستم بارگذاری می شود. مرحله آخر دوباره از PowerShell استفاده می کند، اما این بار برای حذف یک کار برنامه ریزی قبلی ایجاد شده است.

دستگاه های مک را می توان تحت تأثیر قرار داد

اپراتورهای ChromeLoader همچنین قابلیت به خطر انداختن مرورگرهای سافاری اپل را اضافه کرده اند. جریان کلی عفونت یکسان است، اما فایل ISO اولیه با نوع فایل DMG (Apple Disk Image) که در دستگاه های سیستم عامل رایج تر است جایگزین شده است. نوع macOS همچنین از یک اسکریپت bash برای واکشی و از حالت فشرده خارج کردن افزونه ChromeLoader استفاده می‌کند. رباینده مرورگر در دایرکتوری "private/var/tmp" رها می شود. ChromeLoader برای اطمینان از پایداری آن در Mac، یک فایل 'plist' به '/Library/LaunchAgents' اضافه می کند.

Loading...