ChromeLoader
Aplikacja ChromeLoader została sklasyfikowana jako porywacz przeglądarki. Jako taki, jego celem jest przejęcie kontroli nad kilkoma ważnymi ustawieniami przeglądarki internetowej, aby generować sztuczny ruch do promowanych stron lub dostarczać do systemu niechciane i niewiarygodne reklamy. Reklamy związane z porywaczami przeglądarki, oprogramowaniem reklamowym lub innymi PUP (potencjalnie niechcianymi programami) często promują natrętne oprogramowanie, fałszywe strony internetowe, fałszywe prezenty, portale phishingowe, podejrzane gry lub witryny dla dorosłych.
Chociaż ChromeLoader posiada wszystkie te typowe funkcje porywacza przeglądarki, jest również wyposażony w kilka wyjątkowych funkcji. Szczegóły dotyczące aplikacji zostały ujawnione opinii publicznej w raporcie badaczy cyberbezpieczeństwa z Red Canary. Zgodnie z ich ustaleniami, ChromeLoader wykazuje szerokie wykorzystanie PowerShell.
Wektor infekcji
Aplikacja jest rozpowszechniana jako uszkodzone archiwum ISO. Ten plik ISO jest zamaskowany jako pęknięty plik wykonywalny popularnych gier wideo lub oprogramowania komercyjnego. Jest bardzo prawdopodobne, że użytkownicy, którzy odwiedzają strony rozpowszechniające zhakowane wersje takich produktów, prawdopodobnie sami pobrali plik ChromeLoadera.
Po uruchomieniu plik ISO zostanie zamontowany w systemie jako wirtualny napęd CD-ROM. Aby zachować złudzenie, że należy do oczekiwanego złamanego oprogramowania lub gry, plik zawiera plik wykonywalny o nazwie podobnej do „CS_Installer.exe”. Kolejnym krokiem w łańcuchu ataków jest wykonanie polecenia PowerShell odpowiedzialnego za pobranie określonego archiwum ze zdalnej lokalizacji. Archiwum zostanie następnie załadowane do systemu jako rozszerzenie Google Chrome. Ostatni krok ponownie używa PowerShell, ale tym razem w celu usunięcia wcześniej utworzonego zadania harmonogramu.
Urządzenia Mac mogą być zagrożone
Operatorzy ChromeLoadera dodali również możliwość złamania zabezpieczeń przeglądarek Safari firmy Apple. Ogólny przebieg infekcji pozostaje taki sam, ale początkowy plik ISO został zastąpiony częstszym na urządzeniach z systemem operacyjnym typem pliku DMG (Apple Disk Image). Wariant macOS wykorzystuje również skrypt bash do pobierania i dekompresowania rozszerzenia ChromeLoader. Porywacz przeglądarki zostanie umieszczony w katalogu „private/var/tmp”. Aby zapewnić jego trwałość na Macu, ChromeLoader dodaje plik „plist” do „/Library/LaunchAgents”.
