ChromeLoader

ChromeLoader

ChromeLoader-sovellus on luokiteltu selaimen kaappaajaksi. Sellaisenaan sen tavoitteena on hallita useita tärkeitä verkkoselaimen asetuksia luodakseen keinotekoista liikennettä mainostetuille sivuille tai toimittaakseen ei-toivottuja ja epäluotettavia mainoksia järjestelmään. Selaimien kaappaajiin, mainosohjelmiin tai muihin PUP-ohjelmiin (potentiaalisesti ei-toivottuihin ohjelmiin) liittyvät mainokset mainostavat usein tunkeilevia ohjelmistotuotteita, huijaussivustoja, väärennettyjä lahjoituksia, tietojenkalasteluportaaleja, epäilyttäviä aikuisille suunnattuja pelejä tai aikuisille suunnattuja sivustoja.

Vaikka ChromeLoaderilla on kaikki nämä tyypilliset selaimen kaappausominaisuudet, se on myös varustettu joillakin erottuvilla ominaisuuksilla. Sovelluksen yksityiskohdat paljastettiin yleisölle Red Canaryn kyberturvallisuustutkijoiden raportissa. Heidän havaintojensa mukaan ChromeLoader käyttää laajasti PowerShellia.

Infektiovektori

Sovellus on levinnyt vioittuneena ISO-arkistona. Tämä ISO-tiedosto on naamioitu suosittujen videopelien tai kaupallisten ohjelmistojen murtuneeksi suoritustiedostoksi. On erittäin todennäköistä, että käyttäjät, jotka vierailevat sivustoilla, jotka levittävät tällaisten tuotteiden krakattuja versioita, latasivat ChromeLoaderin tiedoston itse.

Kun ISO-tiedosto suoritetaan, se liitetään järjestelmään virtuaalisena CD-ROM-asemana. Säilyttääkseen illuusion siitä, että se kuuluu odotettuun murrettuun ohjelmistoon tai peliin, tiedosto sisältää suoritettavan tiedoston, jonka nimi on samanlainen kuin "CS_Installer.exe". Seuraava vaihe hyökkäysketjussa sisältää PowerShell-komennon suorittamisen, joka vastaa tietyn arkiston hakemisesta etäpaikasta. Arkisto ladataan sitten järjestelmään Google Chrome -laajennuksena. Viimeisessä vaiheessa käytetään jälleen PowerShellia, mutta tällä kertaa aiemmin luodun aikataulutehtävän poistamiseksi.

Mac-laitteet voivat joutua vaikuttamaan

ChromeLoaderin operaattorit ovat myös lisänneet mahdollisuuden vaarantaa Applen Safari-selaimia. Tartunnan yleinen kulku pysyy samana, mutta alkuperäinen ISO-tiedosto on korvattu käyttöjärjestelmälaitteissa yleisemmällä DMG-tiedostotyypillä (Apple Disk Image). MacOS-versio käyttää myös bash-skriptiä ChromeLoader-laajennuksen hakemiseen ja purkamiseen. Selaimen kaappaaja pudotetaan "private/var/tmp" -hakemistoon. Varmistaakseen sen pysyvyyden Macissa ChromeLoader lisää "plist"-tiedoston "/Library/LaunchAgents" -kansioon.

Loading...