ChromeLoader
Aplicația ChromeLoader a fost clasificată drept piratator de browser. Ca atare, scopul său este să preia controlul asupra mai multor setări importante ale browserului Web pentru a genera trafic artificial către paginile promovate sau pentru a furniza reclame nedorite și nedemne de încredere către sistem. Reclamele asociate cu piratatori de browser, adware sau alte PUP (Programe potențial nedorite) promovează adesea produse software intruzive, site-uri web false, cadouri false, portaluri de phishing, jocuri pentru adulți suspecte sau site-uri orientate către adulți.
Deși ChromeLoader posedă toate aceste capacități tipice de hijacker de browser, este, de asemenea, echipat cu câteva caracteristici remarcabile. Detalii despre aplicație au fost dezvăluite publicului într-un raport al cercetătorilor în securitate cibernetică de la Red Canary. Conform constatărilor lor, ChromeLoader arată o utilizare extinsă a PowerShell.
Vector de infecție
Aplicația este răspândită ca o arhivă ISO coruptă. Acest fișier ISO este deghizat ca un executabil spart pentru jocuri video populare sau software comercial. Este foarte probabil ca utilizatorii care vizitează site-uri care răspândesc versiuni sparte ale unor astfel de produse, probabil să fi descărcat ei înșiși fișierul ChromeLoader.
Când este executat, fișierul ISO va fi montat pe sistem ca o unitate CD-ROM virtuală. Pentru a menține iluzia că aparține software-ului sau jocului crăpat așteptat, fișierul conține un executabil cu un nume similar cu „CS_Installer.exe”. Următorul pas în lanțul de atac implică executarea unei comenzi PowerShell responsabilă pentru preluarea unei anumite arhive dintr-o locație la distanță. Arhiva va fi apoi încărcată în sistem ca extensie Google Chrome. Pasul final folosește din nou PowerShell, dar de data aceasta pentru a elimina o sarcină de planificare creată anterior.
Dispozitivele Mac pot fi afectate
Operatorii ChromeLoader au adăugat și capacitatea de a compromite browserele Apple Safari. Fluxul general al infecției rămâne același, dar fișierul ISO inițial a fost înlocuit cu cel mai comun tip de fișier DMG (Apple Disk Image) pe dispozitivele cu sistem de operare. Varianta macOS utilizează, de asemenea, un script bash pentru a prelua și decomprima extensia ChromeLoader. Hijacker-ul browserului va fi plasat în directorul „privat/var/tmp”. Pentru a-și asigura persistența pe Mac, ChromeLoader adaugă un fișier „plist” la „/Library/LaunchAgents”.
