ChromeLoader
A ChromeLoader alkalmazást a böngésző-gépeltérítőnek minősítették. Mint ilyen, célja, hogy átvegye az irányítást számos fontos webböngésző-beállítás felett, hogy mesterséges forgalmat generáljon a reklámozott oldalak felé, vagy kéretlen és megbízhatatlan hirdetéseket küldjön a rendszernek. A böngésző-eltérítőkkel, adware-ekkel vagy más PUP-okkal (potenciálisan nemkívánatos programokkal) kapcsolatos hirdetések gyakran tolakodó szoftvertermékeket, átverő webhelyeket, hamis ajándékokat, adathalász portálokat, gyanús felnőtt játékokat vagy felnőtteknek szóló webhelyeket reklámoznak.
Noha a ChromeLoader rendelkezik ezekkel a tipikus böngésző-eltérítő képességekkel, néhány kiemelkedő funkcióval is rendelkezik. Az alkalmazás részleteit a Red Canary kiberbiztonsági kutatóinak jelentésében tárták a nyilvánosság elé. Eredményeik szerint a ChromeLoader a PowerShell széleskörű használatát mutatja.
Fertőzés vektor
Az alkalmazás sérült ISO-archívumként terjed. Ezt az ISO-fájlt népszerű videojátékok vagy kereskedelmi szoftverek feltört futtatófájljának álcázzák. Nagy valószínűséggel azok a felhasználók, akik ilyen termékek feltört verzióit terjesztő webhelyeket látogatnak meg, valószínűleg maguk töltötték le a ChromeLoader fájlját.
Végrehajtáskor az ISO fájl virtuális CD-ROM meghajtóként kerül a rendszerbe. Annak az illúziónak a fenntartása érdekében, hogy a várt feltört szoftverhez vagy játékhoz tartozik, a fájl a „CS_Installer.exe”-hez hasonló nevű végrehajtható fájlt tartalmaz. A támadási lánc következő lépése egy PowerShell-parancs végrehajtása, amely egy adott archívum távoli helyről való lekéréséért felelős. Az archívum ezután Google Chrome-bővítményként betöltődik a rendszerbe. Az utolsó lépés ismét a PowerShellt használja, de ezúttal egy korábban létrehozott ütemezési feladat eltávolítására.
A Mac-eszközöket érintheti
A ChromeLoader üzemeltetői az Apple Safari böngészőinek kompromittálásának lehetőségét is hozzáadták. A fertőzés általános áramlása változatlan marad, de a kezdeti ISO-fájlt az operációs rendszeren használt eszközökön elterjedtebb DMG (Apple Disk Image) fájltípussal helyettesítették. A macOS változat bash szkriptet is használ a ChromeLoader bővítmény lekéréséhez és kibontásához. A böngésző-gépeltérítő a „private/var/tmp” könyvtárba kerül. A Mac rendszeren való fennmaradás érdekében a ChromeLoader hozzáad egy „plist” fájlt a „/Library/LaunchAgents” mappához.
