ChromeLoader

Приложение ChromeLoader было классифицировано как угонщик браузера. Таким образом, его цель — получить контроль над несколькими важными настройками веб-браузера для создания искусственного трафика на продвигаемые страницы или доставки нежелательной и ненадежной рекламы в систему. Рекламные объявления, связанные с угонщиками браузера, рекламным ПО или другими ПНП (потенциально нежелательными программами), часто рекламируют навязчивые программные продукты, мошеннические веб-сайты, поддельные бесплатные раздачи, фишинговые порталы, подозрительные игры для взрослых или сайты, ориентированные на взрослых.

Хотя ChromeLoader обладает всеми этими типичными возможностями угонщика браузера, он также оснащен некоторыми выдающимися функциями. Подробности о приложении были раскрыты общественности в отчете исследователей кибербезопасности Red Canary. Согласно их выводам, ChromeLoader активно использует PowerShell.

Вектор инфекции

Приложение распространяется в виде поврежденного ISO-архива. Этот файл ISO замаскирован под взломанный исполняемый файл популярных видеоигр или коммерческого программного обеспечения. Весьма вероятно, что пользователи, посещающие сайты, распространяющие взломанные версии таких продуктов, возможно, сами скачали файл ChromeLoader.

При выполнении файл ISO будет смонтирован в системе как виртуальный привод CD-ROM. Чтобы сохранить иллюзию того, что он принадлежит ожидаемому взломанному программному обеспечению или игре, файл содержит исполняемый файл с именем, похожим на «CS_Installer.exe». Следующий шаг в цепочке атак включает в себя выполнение команды PowerShell, отвечающей за получение определенного архива из удаленного места. Затем архив будет загружен в систему как расширение Google Chrome. На последнем этапе снова используется PowerShell, но на этот раз для удаления ранее созданной запланированной задачи.

Устройства Mac могут быть затронуты

Операторы ChromeLoader также добавили возможность компрометации браузеров Apple Safari. Общий поток заражения остался прежним, но исходный файл ISO был заменен более распространенным на устройствах ОС типом файлов DMG (Apple Disk Image). Вариант macOS также использует сценарий bash для извлечения и распаковки расширения ChromeLoader. Угонщик браузера будет помещен в каталог «private/var/tmp». Чтобы гарантировать его сохранение на Mac, ChromeLoader добавляет файл «plist» в «/Library/LaunchAgents».

В тренде

Наиболее просматриваемые

Загрузка...