ChromeLoader
„ChromeLoader“ programa buvo klasifikuojama kaip naršyklės užgrobė. Taigi jos tikslas yra valdyti keletą svarbių žiniatinklio naršyklės nustatymų, kad būtų generuojamas dirbtinis srautas į reklamuojamus puslapius arba sistemai būtų pateikti nepageidaujami ir nepatikimi skelbimai. Reklamose, susijusiose su naršyklės užgrobėjais, reklamine programine įranga ar kitomis PUP (potencialiai nepageidaujamomis programomis), dažnai reklamuojami įkyrūs programinės įrangos produktai, apgaulingos svetainės, netikros dovanos, sukčiavimo portalai, įtartini suaugusiesiems skirti žaidimai arba suaugusiesiems skirtos svetainės.
Nors „ChromeLoader“ turi visas šias įprastas naršyklės užgrobimo galimybes, jame taip pat yra keletas išskirtinių funkcijų. Išsami informacija apie programą buvo atskleista visuomenei Red Canary kibernetinio saugumo tyrėjų ataskaitoje. Remiantis jų išvadomis, „ChromeLoader“ plačiai naudoja „PowerShell“.
Infekcijos vektorius
Programa platinama kaip sugadintas ISO archyvas. Šis ISO failas yra užmaskuotas kaip nulaužtas vykdomasis failas populiariems vaizdo žaidimams ar komercinei programinei įrangai. Labai tikėtina, kad vartotojai, kurie lankosi svetainėse, kuriose platinamos nulaužtos tokių produktų versijos, tikriausiai patys atsisiuntė „ChromeLoader“ failą.
Vykdant ISO failas bus prijungtas prie sistemos kaip virtualus CD-ROM įrenginys. Siekiant išlaikyti iliuziją, kad failas priklauso tikėtinai nulaužtai programinei įrangai ar žaidimui, faile yra vykdomasis failas, kurio pavadinimas panašus į „CS_Installer.exe“. Kitas atakos grandinės žingsnis apima „PowerShell“ komandos, atsakingos už konkretaus archyvo gavimą iš nuotolinės vietos, vykdymą. Tada archyvas bus įkeltas į sistemą kaip „Google Chrome“ plėtinys. Paskutiniame etape vėl naudojama „PowerShell“, bet šį kartą norint pašalinti anksčiau sukurtą tvarkaraščio užduotį.
„Mac“ įrenginiai gali būti paveikti
„ChromeLoader“ operatoriai taip pat pridėjo galimybę pažeisti „Apple“ „Safari“ naršykles. Bendras infekcijos srautas išlieka toks pat, tačiau pradinis ISO failas buvo pakeistas įprastesniu OS įrenginiuose DMG („Apple Disk Image“) failo tipu. „MacOS“ variante taip pat naudojamas „bash“ scenarijus „ChromeLoader“ plėtiniui gauti ir išskleisti. Naršyklės užgrobėjas bus numestas į „private/var/tmp“ katalogą. Siekdama užtikrinti, kad „Mac“ sistemoje jis išliktų, „ChromeLoader“ prideda „plist“ failą prie „/Library/LaunchAgents“.
