ChromeLoader

ChromeLoader

אפליקציית ChromeLoader סווגה כחוטפת דפדפן. ככזה, מטרתו היא להשתלט על מספר הגדרות חשובות של דפדפן אינטרנט כדי ליצור תעבורה מלאכותית לעבר דפים מקודמים או לספק פרסומות לא רצויות ולא אמינות למערכת. פרסומות הקשורות לחוטפי דפדפן, תוכנות פרסום או PUPs אחרים (תוכנות לא רצויות) לרוב מקדמות מוצרי תוכנה פולשניים, אתרי מתיחה, מתנות מזויפות, פורטלי דיוג, משחקים חשודים למבוגרים או אתרים המכוונים למבוגרים.

בעוד ChromeLoader מחזיק בכל יכולות חוטפי הדפדפן האופייניות הללו, הוא מצויד גם בכמה תכונות בולטות. פרטים על הבקשה נחשפו לציבור בדו"ח של חוקרי אבטחת הסייבר ב-Red Canary. לפי הממצאים שלהם, ChromeLoader מראה שימוש נרחב ב- PowerShell.

וקטור זיהום

היישום מופץ כארכיון ISO פגום. קובץ ISO זה מוסווה כקובץ הפעלה מפוצץ עבור משחקי וידאו פופולריים או תוכנות מסחריות. סביר מאוד להניח שמשתמשים המבקרים באתרים המפיצים גרסאות מפוצצות של מוצרים כאלה, כנראה הורידו בעצמם את הקובץ של ChromeLoader.

לאחר הביצוע, קובץ ה-ISO יותקן במערכת ככונן CD-ROM וירטואלי. כדי לשמור על האשליה שהוא שייך לתוכנה או למשחק הפצועים הצפויים, הקובץ מכיל קובץ הפעלה עם שם דומה ל-'CS_Installer.exe.' השלב הבא בשרשרת ההתקפה כולל ביצוע פקודת PowerShell האחראית על שליפת ארכיון ספציפי ממיקום מרוחק. לאחר מכן, הארכיון ייטען למערכת כתוסף של Google Chrome. השלב האחרון משתמש שוב ב- PowerShell, אבל הפעם כדי להסיר משימת לוח זמנים שנוצרה בעבר.

מכשירי Mac יכולים להיות מושפעים

המפעילים של ChromeLoader הוסיפו גם את היכולת לסכן את דפדפני הספארי של אפל. הזרימה הכללית של הזיהום נשארה זהה, אך קובץ ה-ISO הראשוני הוחלף בקובץ הנפוץ יותר במכשירי מערכת ההפעלה מסוג DMG (Apple Disk Image). גרסת macOS משתמשת גם בסקריפט bash כדי לאחזר ולבטל את הדחיסה של תוסף ChromeLoader. חוטף הדפדפן יוכנס לספריית 'private/var/tmp'. כדי להבטיח את עמידותו ב-Mac, ChromeLoader מוסיף קובץ 'plist' ל-'/Library/LaunchAgents'.

טוען...