크롬로더

ChromeLoader 앱은 브라우저 하이재커로 분류되었습니다. 따라서 목표는 몇 가지 중요한 웹 브라우저 설정을 제어하여 승격된 페이지에 대한 인위적인 트래픽을 생성하거나 시스템에 원하지 않고 신뢰할 수 없는 광고를 전달하는 것입니다. 브라우저 하이재커, 애드웨어 또는 기타 PUP(Potentially Unwanted Programs)와 관련된 광고는 종종 침입 소프트웨어 제품, 사기 웹사이트, 가짜 경품, 피싱 포털, 의심스러운 성인 게임 또는 성인용 사이트를 홍보합니다.

ChromeLoader는 이러한 일반적인 브라우저 하이재커 기능을 모두 갖추고 있지만 몇 가지 뛰어난 기능도 갖추고 있습니다. 애플리케이션에 대한 세부 정보는 Red Canary의 사이버 보안 연구원이 작성한 보고서에서 공개되었습니다. 그들의 조사 결과에 따르면 ChromeLoader는 PowerShell을 광범위하게 사용하는 것으로 나타났습니다.

감염 벡터

응용 프로그램은 손상된 ISO 아카이브로 확산됩니다. 이 ISO 파일은 인기 있는 비디오 게임이나 상용 소프트웨어의 크랙 실행 파일로 위장합니다. 이러한 제품의 크랙 버전을 퍼뜨리는 사이트를 방문하는 사용자가 ChromeLoader의 파일을 직접 다운로드했을 가능성이 높습니다.

실행되면 ISO 파일이 시스템에 가상 CD-ROM 드라이브로 마운트됩니다. 예상되는 크랙 소프트웨어나 게임에 속해 있다는 착각을 유지하기 위해 파일에는 'CS_Installer.exe'와 유사한 이름의 실행 파일이 포함되어 있습니다. 공격 체인의 다음 단계는 원격 위치에서 특정 아카이브를 가져오는 PowerShell 명령을 실행하는 것입니다. 그러면 아카이브가 Google Chrome 확장 프로그램으로 시스템에 로드됩니다. 마지막 단계에서는 PowerShell을 다시 사용하지만 이번에는 이전에 생성된 일정 작업을 제거합니다.

Mac 장치가 영향을 받을 수 있음

ChromeLoader 운영자는 Apple의 Safari 브라우저를 손상시키는 기능도 추가했습니다. 일반적인 감염 흐름은 동일하게 유지되지만 초기 ISO 파일은 OS 장치에서 보다 일반적인 DMG(Apple Disk Image) 파일 형식으로 대체되었습니다. macOS 변종은 또한 bash 스크립트를 사용하여 ChromeLoader 확장 프로그램을 가져오고 압축을 풉니다. 브라우저 하이재커는 'private/var/tmp' 디렉토리로 이동합니다. Mac에서 지속성을 보장하기 위해 ChromeLoader는 '/Library/LaunchAgents'에 'plist' 파일을 추가합니다.