Caricatore Chrome

L'app ChromeLoader è stata classificata come un browser hijacker. In quanto tale, il suo obiettivo è assumere il controllo di diverse importanti impostazioni del browser Web per generare traffico artificiale verso le pagine promosse o fornire pubblicità indesiderate e non affidabili al sistema. Le pubblicità associate a browser hijacker, adware o altri PUP (programmi potenzialmente indesiderati) promuovono spesso prodotti software intrusivi, siti Web falsi, omaggi falsi, portali di phishing, giochi per adulti sospetti o siti per adulti.

Sebbene ChromeLoader possieda tutte queste tipiche funzionalità di dirottatore del browser, è anche dotato di alcune funzionalità straordinarie. I dettagli sull'applicazione sono stati rivelati al pubblico in un rapporto dei ricercatori di cybersecurity di Red Canary. Secondo i loro risultati, ChromeLoader mostra un uso estensivo di PowerShell.

Vettore di infezione

L'applicazione viene diffusa come un archivio ISO danneggiato. Questo file ISO è camuffato da eseguibile crackato per videogiochi o software commerciali popolari. È molto probabile che gli utenti che visitano i siti che diffondono versioni craccate di tali prodotti, probabilmente abbiano scaricato essi stessi il file di ChromeLoader.

Una volta eseguito, il file ISO verrà montato sul sistema come unità CD-ROM virtuale. Per mantenere l'illusione che appartenga al software o al gioco crackato previsto, il file contiene un eseguibile con un nome simile a "CS_Installer.exe". Il passaggio successivo nella catena di attacco prevede l'esecuzione di un comando PowerShell responsabile del recupero di un archivio specifico da una posizione remota. L'archivio verrà quindi caricato sul sistema come estensione di Google Chrome. Il passaggio finale usa nuovamente PowerShell, ma questa volta per rimuovere un'attività di pianificazione creata in precedenza.

I dispositivi Mac possono essere interessati

Gli operatori di ChromeLoader hanno anche aggiunto la possibilità di compromettere i browser Safari di Apple. Il flusso generale dell'infezione rimane lo stesso, ma il file ISO iniziale è stato sostituito con il tipo di file DMG (Apple Disk Image) più comune sui dispositivi OS. La variante macOS utilizza anche uno script bash per recuperare e decomprimere l'estensione ChromeLoader. Il browser hijacker verrà rilasciato nella directory 'private/var/tmp'. Per assicurarne la persistenza sul Mac, ChromeLoader aggiunge un file "plist" a "/Library/LaunchAgents".