ChromeLoader
Apl ChromeLoader telah diklasifikasikan sebagai perampas penyemak imbas. Oleh itu, matlamatnya adalah untuk mengawal beberapa tetapan pelayar web yang penting untuk menjana trafik buatan ke arah halaman yang dipromosikan atau menyampaikan iklan yang tidak diingini dan tidak boleh dipercayai kepada sistem. Iklan yang dikaitkan dengan perampas penyemak imbas, perisian iklan atau PUP lain (Program Berpotensi Tidak Diingini) sering mempromosikan produk perisian yang mengganggu, tapak web penipuan, hadiah palsu, portal pancingan data, permainan dewasa yang mencurigakan atau tapak berorientasikan dewasa.
Walaupun ChromeLoader memiliki semua keupayaan perampas penyemak imbas biasa ini, ia juga dilengkapi dengan beberapa ciri yang menonjol. Butiran mengenai permohonan itu didedahkan kepada orang ramai dalam laporan oleh penyelidik keselamatan siber di Red Canary. Menurut penemuan mereka, ChromeLoader menunjukkan penggunaan PowerShell secara meluas.
Vektor Jangkitan
Aplikasi ini tersebar sebagai arkib ISO yang rosak. Fail ISO ini menyamar sebagai boleh laku yang retak untuk permainan video atau perisian komersial yang popular. Besar kemungkinan pengguna yang melawati tapak yang menyebarkan versi retak produk sedemikian, mungkin memuat turun sendiri fail ChromeLoader.
Apabila dilaksanakan, fail ISO akan dipasang pada sistem sebagai pemacu CD-ROM maya. Untuk mengekalkan ilusi bahawa ia tergolong dalam perisian atau permainan retak yang dijangka, fail itu mengandungi boleh laku dengan nama yang serupa dengan 'CS_Installer.exe.' Langkah seterusnya dalam rantaian serangan melibatkan pelaksanaan perintah PowerShell yang bertanggungjawab untuk mengambil arkib tertentu dari lokasi terpencil. Arkib kemudiannya akan dimuatkan ke sistem sebagai sambungan Google Chrome. Langkah terakhir menggunakan PowerShell sekali lagi, tetapi kali ini untuk mengalih keluar tugas jadual yang dibuat sebelum ini.
Peranti Mac boleh Kesan
Pengendali ChromeLoader juga telah menambah keupayaan untuk menjejaskan pelayar Safari Apple. Aliran umum jangkitan kekal sama, tetapi fail ISO awal telah digantikan dengan jenis fail DMG (Imej Cakera Apple) yang lebih biasa pada peranti OS. Varian macOS juga menggunakan skrip bash untuk mengambil dan menyahmampat sambungan ChromeLoader. Perampas penyemak imbas akan digugurkan ke dalam direktori 'private/var/tmp'. Untuk memastikan kegigihannya pada Mac, ChromeLoader menambahkan fail 'plist' pada '/Library/LaunchAgents.'
