ChromeLoader

Aplikácia ChromeLoader bola klasifikovaná ako únosca prehliadača. Jeho cieľom je prevziať kontrolu nad niekoľkými dôležitými nastaveniami webového prehliadača na generovanie umelej návštevnosti propagovaných stránok alebo dodávanie nechcených a nedôveryhodných reklám do systému. Reklamy spojené s únoscami prehliadačov, adware alebo inými PUP (potenciálne nechcené programy) často propagujú rušivé softvérové produkty, falošné webové stránky, falošné darčeky, phishingové portály, podozrivé hry pre dospelých alebo stránky zamerané na dospelých.

Zatiaľ čo ChromeLoader disponuje všetkými týmito typickými schopnosťami prehliadača únoscov, je vybavený aj niektorými výnimočnými funkciami. Podrobnosti o aplikácii odhalila verejnosť v správe výskumníkov kybernetickej bezpečnosti z Red Canary. Podľa ich zistení ChromeLoader vykazuje rozsiahle využitie PowerShell.

Vektor infekcie

Aplikácia sa šíri ako poškodený ISO archív. Tento súbor ISO je maskovaný ako popraskaný spustiteľný súbor pre populárne videohry alebo komerčný softvér. Je vysoko pravdepodobné, že používatelia, ktorí navštívia stránky šíriace cracknuté verzie takýchto produktov, si pravdepodobne sami stiahli súbor ChromeLoader.

Po spustení sa súbor ISO pripojí k systému ako virtuálna jednotka CD-ROM. Aby sa zachovala ilúzia, že patrí k očakávanému cracknutému softvéru alebo hre, súbor obsahuje spustiteľný súbor s názvom podobným „CS_Installer.exe“. Ďalší krok v reťazci útokov zahŕňa spustenie príkazu PowerShell zodpovedného za načítanie konkrétneho archívu zo vzdialeného miesta. Archív sa potom načíta do systému ako rozšírenie Google Chrome. Posledný krok opäť používa PowerShell, ale tentoraz na odstránenie predtým vytvorenej plánovacej úlohy.

Zariadenia Mac môžu byť ovplyvnené

Operátori ChromeLoader tiež pridali možnosť kompromitovať prehliadače Safari od Apple. Všeobecný tok infekcie zostáva rovnaký, ale pôvodný súbor ISO bol nahradený typom súboru DMG (Apple Disk Image), ktorý je na zariadeniach s OS bežnejší. Variant macOS tiež využíva bash skript na načítanie a dekomprimovanie rozšírenia ChromeLoader. Únosca prehliadača sa presunie do adresára 'private/var/tmp'. ChromeLoader na zabezpečenie jeho pretrvávania na počítačoch Mac pridá súbor „plist“ do súboru „/Library/LaunchAgents“.