ChromeLoader
Lietotne ChromeLoader ir klasificēta kā pārlūkprogrammas nolaupītājs. Tā mērķis ir pārņemt kontroli pār vairākiem svarīgiem tīmekļa pārlūkprogrammas iestatījumiem, lai radītu mākslīgu trafiku uz reklamētajām lapām vai piegādātu sistēmai nevēlamas un neuzticamas reklāmas. Reklāmās, kas saistītas ar pārlūkprogrammu nolaupītājiem, reklāmprogrammatūru vai citām PUP (potenciāli nevēlamām programmām), bieži tiek reklamēti uzmācīgi programmatūras produkti, mānīšanas vietnes, viltotas dāvanas, pikšķerēšanas portāli, aizdomīgas pieaugušajiem paredzētas spēles vai pieaugušajiem paredzētas vietnes.
Lai gan ChromeLoader ir visas šīs tipiskās pārlūkprogrammas nolaupītāja iespējas, tas ir aprīkots arī ar dažām izcilām funkcijām. Sīkāka informācija par lietojumprogrammu tika atklāta sabiedrībai Sarkanās Kanāriju salu kiberdrošības pētnieku ziņojumā. Saskaņā ar viņu atklājumiem ChromeLoader plaši izmanto PowerShell.
Infekcijas vektors
Lietojumprogramma tiek izplatīta kā bojāts ISO arhīvs. Šis ISO fails ir slēpts kā uzlauzts izpildāms fails populārām videospēlēm vai komerciālai programmatūrai. Ļoti iespējams, ka lietotāji, kuri apmeklē vietnes, kurās izplata šādu produktu uzlauztas versijas, iespējams, paši lejupielādēja ChromeLoader failu.
Kad tas tiks izpildīts, ISO fails tiks uzstādīts sistēmā kā virtuāls CD-ROM diskdzinis. Lai saglabātu ilūziju, ka fails pieder paredzētajai uzlauztajai programmatūrai vai spēlei, failā ir izpildāms fails, kura nosaukums ir līdzīgs CS_Installer.exe. Nākamais solis uzbrukuma ķēdē ietver PowerShell komandas izpildi, kas ir atbildīga par konkrēta arhīva izgūšanu no attālas vietas. Pēc tam arhīvs tiks ielādēts sistēmā kā Google Chrome paplašinājums. Pēdējā darbība atkal izmanto PowerShell, bet šoreiz, lai noņemtu iepriekš izveidotu grafika uzdevumu.
Mac ierīces var tikt ietekmētas
ChromeLoader operatori ir arī pievienojuši iespēju kompromitēt Apple Safari pārlūkprogrammas. Vispārējā infekcijas plūsma paliek nemainīga, taču sākotnējais ISO fails ir aizstāts ar OS ierīcēs biežāk sastopamo DMG (Apple Disk Image) faila tipu. MacOS variantā tiek izmantots arī bash skripts, lai ielādētu un atspiestu ChromeLoader paplašinājumu. Pārlūkprogrammas nolaupītājs tiks iemests direktorijā “private/var/tmp”. Lai nodrošinātu tā noturību operētājsistēmā Mac, ChromeLoader failam “/Library/LaunchAgents” pievieno “plist” failu.
