क्रोम लोडर
ChromeLoader ऐप को ब्राउज़र अपहरणकर्ता के रूप में वर्गीकृत किया गया है। जैसे, इसका लक्ष्य प्रचारित पृष्ठों की ओर कृत्रिम ट्रैफ़िक उत्पन्न करने या सिस्टम को अवांछित और अविश्वसनीय विज्ञापन देने के लिए कई महत्वपूर्ण वेब ब्राउज़र सेटिंग्स पर नियंत्रण रखना है। ब्राउज़र अपहर्ताओं, एडवेयर, या अन्य पीयूपी (संभावित रूप से अवांछित प्रोग्राम) से जुड़े विज्ञापन अक्सर दखल देने वाले सॉफ़्टवेयर उत्पादों, धोखाधड़ी वाली वेबसाइटों, नकली उपहार, फ़िशिंग पोर्टल, संदिग्ध वयस्क गेम या वयस्क-उन्मुख साइटों को बढ़ावा देते हैं।
जबकि ChromeLoader के पास ये सभी विशिष्ट ब्राउज़र अपहरणकर्ता क्षमताएं हैं, यह कुछ असाधारण सुविधाओं से भी सुसज्जित है। रेड कैनरी में साइबर सुरक्षा शोधकर्ताओं की एक रिपोर्ट में आवेदन के बारे में विवरण जनता के सामने आया था। उनके निष्कर्षों के अनुसार, ChromeLoader पावरशेल का व्यापक उपयोग दिखाता है।
संक्रमण वेक्टर
एप्लिकेशन एक दूषित ISO संग्रह के रूप में फैला हुआ है। यह आईएसओ फाइल लोकप्रिय वीडियो गेम या व्यावसायिक सॉफ्टवेयर के लिए एक फटा निष्पादन योग्य के रूप में प्रच्छन्न है। इस बात की बहुत अधिक संभावना है कि जो उपयोगकर्ता ऐसे उत्पादों के क्रैक किए गए संस्करणों को फैलाने वाली साइटों पर जाते हैं, उन्होंने संभवतः ChromeLoader की फ़ाइल को स्वयं डाउनलोड किया हो।
जब निष्पादित किया जाता है, तो आईएसओ फाइल सिस्टम पर वर्चुअल सीडी-रोम ड्राइव के रूप में आरोहित की जाएगी। इस भ्रम को बनाए रखने के लिए कि यह अपेक्षित क्रैक किए गए सॉफ़्टवेयर या गेम से संबंधित है, फ़ाइल में 'CS_Installer.exe' के समान नाम वाला निष्पादन योग्य है। हमले की श्रृंखला के अगले चरण में एक दूरस्थ स्थान से एक विशिष्ट संग्रह लाने के लिए जिम्मेदार पॉवरशेल कमांड को निष्पादित करना शामिल है। फिर संग्रह को Google Chrome एक्सटेंशन के रूप में सिस्टम पर लोड किया जाएगा। अंतिम चरण फिर से PowerShell का उपयोग करता है, लेकिन इस बार पहले से बनाए गए शेड्यूल कार्य को निकालने के लिए।
मैक डिवाइस प्रभावित हो सकते हैं
क्रोमलोडर के ऑपरेटरों ने ऐप्पल के सफारी ब्राउज़र से समझौता करने की क्षमता भी जोड़ दी है। संक्रमण का सामान्य प्रवाह समान रहता है, लेकिन आरंभिक ISO फ़ाइल को OS उपकरणों पर अधिक सामान्य DMG (Apple डिस्क छवि) फ़ाइल प्रकार के साथ प्रतिस्थापित किया गया है। macOS वैरिएंट ChromeLoader एक्सटेंशन को लाने और डीकंप्रेस करने के लिए बैश स्क्रिप्ट का भी उपयोग करता है। ब्राउज़र अपहरणकर्ता को 'निजी/var/tmp' निर्देशिका में छोड़ दिया जाएगा। Mac पर इसकी दृढ़ता सुनिश्चित करने के लिए, ChromeLoader '/Library/LaunchAgents' में एक 'प्लिस्ट' फ़ाइल जोड़ता है।
