ChromeLoader
Aplikacija ChromeLoader je bila razvrščena kot ugrabitelj brskalnika. Kot tak je njegov cilj prevzeti nadzor nad več pomembnimi nastavitvami spletnega brskalnika za ustvarjanje umetnega prometa na promovirane strani ali pošiljanje neželenih in nezanesljivih oglasov v sistem. Oglasi, povezani z ugrabitelji brskalnikov, oglasno programsko opremo ali drugimi PUP-ji (potencialno nezaželenimi programi), pogosto oglašujejo vsiljive programske izdelke, spletna mesta za prevare, lažna darila, portale z lažnim predstavljanjem, sumljive igre za odrasle ali spletna mesta za odrasle.
Čeprav ima ChromeLoader vse te tipične zmožnosti ugrabitve brskalnika, je opremljen tudi z nekaterimi izjemnimi funkcijami. Podrobnosti o aplikaciji so javnosti razkrili v poročilu raziskovalcev kibernetske varnosti pri Red Canary. Glede na njihove ugotovitve ChromeLoader kaže obsežno uporabo PowerShell.
Vektor okužbe
Aplikacija se širi kot poškodovan arhiv ISO. Ta datoteka ISO je prikrita kot razbita izvedljiva datoteka za priljubljene video igre ali komercialno programsko opremo. Zelo verjetno je, da so uporabniki, ki obiščejo spletna mesta, ki širijo krekirane različice takšnih izdelkov, verjetno sami prenesli datoteko ChromeLoaderja.
Ko se izvede, bo datoteka ISO nameščena v sistem kot navidezni pogon CD-ROM. Da bi ohranili iluzijo, da pripada pričakovani pokvarjeni programski opremi ali igri, datoteka vsebuje izvedljivo datoteko z imenom, podobnim »CS_Installer.exe«. Naslednji korak v verigi napadov vključuje izvajanje ukaza PowerShell, ki je odgovoren za pridobivanje določenega arhiva z oddaljene lokacije. Arhiv bo nato naložen v sistem kot razširitev za Google Chrome. Zadnji korak znova uporablja PowerShell, vendar tokrat za odstranitev predhodno ustvarjene naloge razporeda.
Naprave Mac so lahko prizadete
Operaterji ChromeLoaderja so dodali tudi možnost ogrožanja Applovih brskalnikov Safari. Splošni tok okužbe ostaja enak, vendar je bila začetna datoteka ISO nadomeščena z bolj običajno vrsto datoteke DMG (Apple Disk Image) na napravah OS. Različica macOS uporablja tudi skript bash za pridobivanje in dekompresijo razširitve ChromeLoader. Ugrabitelj brskalnika bo spuščen v imenik 'private/var/tmp'. Za zagotovitev njegove obstojnosti na Macu ChromeLoader doda datoteko 'plist' v '/Library/LaunchAgents.'
