ChromeLoader
ChromeLoader-appen har blitt klassifisert som en nettleserkaprer. Som sådan er målet å ta kontroll over flere viktige nettleserinnstillinger for å generere kunstig trafikk mot promoterte sider eller levere uønskede og upålitelige annonser til systemet. Annonser assosiert med nettleserkaprere, adware eller andre PUP-er (potensielt uønskede programmer) fremmer ofte påtrengende programvareprodukter, svindelnettsteder, falske gaver, phishing-portaler, mistenkelige voksenspill eller voksenorienterte nettsteder.
Mens ChromeLoader har alle disse typiske nettleserkapreringsfunksjonene, er den også utstyrt med noen fremtredende funksjoner. Detaljer om søknaden ble avslørt for offentligheten i en rapport fra cybersikkerhetsforskerne ved Red Canary. Ifølge funnene deres viser ChromeLoader omfattende bruk av PowerShell.
Infeksjonsvektor
Applikasjonen er spredt som et ødelagt ISO-arkiv. Denne ISO-filen er forkledd som en sprukket kjørbar fil for populære videospill eller kommersiell programvare. Det er høyst sannsynlig at brukere som besøker nettsteder som sprer knekte versjoner av slike produkter, sannsynligvis har lastet ned ChromeLoader-filen selv.
Når den utføres, vil ISO-filen bli montert på systemet som en virtuell CD-ROM-stasjon. For å opprettholde illusjonen om at den tilhører den forventede knekkede programvaren eller spillet, inneholder filen en kjørbar fil med et navn som ligner på 'CS_Installer.exe.' Det neste trinnet i angrepskjeden innebærer å utføre en PowerShell-kommando som er ansvarlig for å hente et spesifikt arkiv fra en ekstern plassering. Arkivet vil deretter bli lastet inn i systemet som en Google Chrome-utvidelse. Det siste trinnet bruker PowerShell igjen, men denne gangen for å fjerne en tidligere opprettet tidsplanoppgave.
Mac-enheter kan bli påvirket
Operatørene av ChromeLoader har også lagt til muligheten til å kompromittere Apples Safari-nettlesere. Den generelle flyten av infeksjonen forblir den samme, men den første ISO-filen har blitt erstattet med den mer vanlige DMG-filtypen (Apple Disk Image) på OS-enheter. MacOS-varianten bruker også et bash-skript for å hente og dekomprimere ChromeLoader-utvidelsen. Nettleserkapreren vil bli sluppet inn i 'private/var/tmp'-katalogen. For å sikre utholdenhet på Mac, legger ChromeLoader til en 'plist'-fil til '/Library/LaunchAgents.'
