ChromeLoader
O aplicativo ChromeLoader foi classificado como um sequestrador de navegador. Como tal, seu objetivo é controlar várias configurações importantes do navegador da Web para gerar tráfego artificial para páginas promovidas ou entregar anúncios indesejados e não confiáveis ao sistema. Anúncios associados a sequestradores de navegador, adware ou outros PUPs (Programas Potencialmente Indesejados) geralmente promovem produtos de software intrusivos, sites falsos, brindes falsos, portais de phishing, jogos adultos suspeitos ou sites voltados para adultos.
Embora o ChromeLoader possua todos esses recursos típicos de sequestrador de navegador, ele também está equipado com alguns recursos de destaque. Detalhes sobre o aplicativo foram revelados ao público em um relatório dos pesquisadores de segurança cibernética da Red Canary. De acordo com suas descobertas, o ChromeLoader mostra o uso extensivo do PowerShell.
Vetor de Infecção
O aplicativo é distribuído como um arquivo ISO corrompido. Este arquivo ISO está disfarçado como um executável crackeado para videogames populares ou software comercial. É altamente provável que os usuários que visitam sites que divulgam versões crackeadas de tais produtos, provavelmente tenham baixado o arquivo do ChromeLoader.
Quando executado, o arquivo ISO será montado no sistema como uma unidade de CD-ROM virtual. Para manter a ilusão de que ele pertence ao software ou jogo crackeado esperado, o arquivo contém um executável com um nome semelhante a 'CS_Installer.exe.' A próxima etapa na cadeia de ataque envolve a execução de um comando do PowerShell responsável por buscar um arquivo específico de um local remoto. O arquivo será então carregado no sistema como uma extensão do Google Chrome. A etapa final usa o PowerShell novamente, mas desta vez para remover uma tarefa de agendamento criada anteriormente.
Os Dispositivos Mac podem ser Afetados
Os operadores do ChromeLoader também adicionaram a capacidade de comprometer os navegadores Safari da Apple. O fluxo geral da infecção permanece o mesmo, mas o arquivo ISO inicial foi substituído pelo tipo de arquivo DMG (Apple Disk Image) mais comum em dispositivos do sistema operacional. A variante do macOS também utiliza um script bash para buscar e descompactar a extensão ChromeLoader. O sequestrador de navegador será colocado no diretório 'private/var/tmp'. Para garantir sua persistência no Mac, o ChromeLoader adiciona um arquivo 'plist' ao arquivo '/Library/LaunchAgents.'
