ChromeLoader

De ChromeLoader-app is geclassificeerd als een browserkaper. Als zodanig is het doel om controle te krijgen over verschillende belangrijke webbrowserinstellingen om kunstmatig verkeer naar gepromote pagina's te genereren of om ongewenste en onbetrouwbare advertenties aan het systeem te leveren. Advertenties die verband houden met browserkapers, adware of andere PUP's (potentieel ongewenste programma's) promoten vaak intrusieve softwareproducten, hoax-websites, nep-weggeefacties, phishing-portalen, verdachte games voor volwassenen of op volwassenen gerichte sites.

Hoewel ChromeLoader al deze typische browserkaper-mogelijkheden bezit, is het ook uitgerust met enkele opvallende kenmerken. Details over de applicatie zijn openbaar gemaakt in een rapport van de cybersecurity-onderzoekers van Red Canary. Volgens hun bevindingen laat ChromeLoader uitgebreid gebruik van PowerShell zien.

infectie vector

De applicatie wordt verspreid als een beschadigd ISO-archief. Dit ISO-bestand is vermomd als een gebarsten uitvoerbaar bestand voor populaire videogames of commerciële software. Het is zeer waarschijnlijk dat gebruikers die sites bezoeken die gekraakte versies van dergelijke producten verspreiden, waarschijnlijk zelf het ChromeLoader-bestand hebben gedownload.

Wanneer het wordt uitgevoerd, wordt het ISO-bestand op het systeem gemount als een virtueel cd-rom-station. Om de illusie te behouden dat het bij de verwachte gekraakte software of game hoort, bevat het bestand een uitvoerbaar bestand met een naam die lijkt op 'CS_Installer.exe.' De volgende stap in de aanvalsketen omvat het uitvoeren van een PowerShell-opdracht die verantwoordelijk is voor het ophalen van een specifiek archief van een externe locatie. Het archief wordt vervolgens in het systeem geladen als een Google Chrome-extensie. De laatste stap maakt opnieuw gebruik van PowerShell, maar deze keer om een eerder gemaakte planningstaak te verwijderen.

Mac-apparaten kunnen worden beïnvloed

De operators van ChromeLoader hebben ook de mogelijkheid toegevoegd om de Safari-browsers van Apple te compromitteren. De algemene infectiestroom blijft hetzelfde, maar het oorspronkelijke ISO-bestand is vervangen door het meer gebruikelijke DMG-bestandstype (Apple Disk Image) op OS-apparaten. De macOS-variant maakt ook gebruik van een bash-script om de ChromeLoader-extensie op te halen en te decomprimeren. De browserkaper wordt in de map 'private/var/tmp' geplaatst. Om de persistentie ervan op de Mac te verzekeren, voegt ChromeLoader een 'plist'-bestand toe aan de '/Library/LaunchAgents.'