ChromeLoader
Aplikacija ChromeLoader klasificirana je kao otmičar preglednika. Kao takav, njegov je cilj preuzeti kontrolu nad nekoliko važnih postavki web preglednika za generiranje umjetnog prometa prema promoviranim stranicama ili isporuku neželjenih i nepouzdanih reklama u sustav. Oglasi povezani s otmičarima preglednika, adwareom ili drugim PUP-ovima (potencijalno neželjenim programima) često promiču nametljive softverske proizvode, lažne web stranice, lažne poklone, portale za krađu identiteta, sumnjive igre za odrasle ili web-mjesta za odrasle.
Iako ChromeLoader posjeduje sve ove tipične mogućnosti otmičara preglednika, također je opremljen nekim izvanrednim značajkama. Pojedinosti o aplikaciji otkrili su javnosti u izvješću istraživača kibernetičke sigurnosti u Red Canaryju. Prema njihovim nalazima, ChromeLoader pokazuje široku upotrebu PowerShell-a.
Vektor infekcije
Aplikacija se širi kao oštećena ISO arhiva. Ova ISO datoteka prerušena je kao krekovana izvršna datoteka za popularne video igre ili komercijalni softver. Vrlo je vjerojatno da su korisnici koji posjećuju web-lokacije koje šire krekovane verzije takvih proizvoda, vjerojatno sami preuzeli datoteku ChromeLoadera.
Kada se izvrši, ISO datoteka će se montirati na sustav kao virtualni CD-ROM pogon. Kako bi se održala iluzija da pripada očekivanom krekovanom softveru ili igrici, datoteka sadrži izvršnu datoteku s nazivom sličnim 'CS_Installer.exe.' Sljedeći korak u lancu napada uključuje izvršavanje naredbe PowerShell odgovorne za dohvaćanje određene arhive s udaljene lokacije. Arhiva će se zatim učitati u sustav kao proširenje za Google Chrome. Posljednji korak ponovno koristi PowerShell, ali ovaj put za uklanjanje prethodno kreiranog zadatka rasporeda.
Mac uređaji mogu biti pogođeni
Operateri ChromeLoadera također su dodali mogućnost kompromitiranja Appleovih Safari preglednika. Opći tijek infekcije ostaje isti, ali početna ISO datoteka zamijenjena je uobičajenom vrstom datoteke DMG (Apple Disk Image) na uređajima s OS-om. Varijanta za macOS također koristi bash skriptu za dohvaćanje i dekompresiju proširenja ChromeLoader. Otmičar preglednika bit će ispušten u direktorij 'private/var/tmp'. Kako bi osigurao njegovu postojanost na Macu, ChromeLoader dodaje datoteku 'plist' u '/Library/LaunchAgents.'
