ChromeLoader

Aplikacioni ChromeLoader është klasifikuar si rrëmbyes i shfletuesit. Si i tillë, qëllimi i tij është të marrë kontrollin mbi disa cilësime të rëndësishme të shfletuesit të internetit për të gjeneruar trafik artificial drejt faqeve të promovuara ose për të ofruar reklama të padëshiruara dhe të pabesueshme në sistem. Reklamat e lidhura me rrëmbyesit e shfletuesit, adware ose PUP të tjerë (Programe Potencialisht të Padëshiruara) shpesh promovojnë produkte softuerike ndërhyrëse, faqe interneti mashtrimi, dhurata të rreme, portale phishing, lojëra të dyshimta për të rritur ose sajte të orientuara nga të rriturit.

Ndërsa ChromeLoader posedon të gjitha këto aftësi tipike të rrëmbyesit të shfletuesit, ai gjithashtu është i pajisur me disa veçori të spikatura. Detajet rreth aplikacionit u zbuluan për publikun në një raport nga studiuesit e sigurisë kibernetike në Red Canary. Sipas gjetjeve të tyre, ChromeLoader tregon përdorim të gjerë të PowerShell.

Vektor infeksioni

Aplikacioni është përhapur si një arkiv ISO i korruptuar. Ky skedar ISO është i maskuar si një ekzekutues i plasaritur për video lojëra të njohura ose softuer komercial. Ka shumë të ngjarë që përdoruesit që vizitojnë sajte që përhapin versione të dëmtuara të produkteve të tilla, ndoshta të kenë shkarkuar vetë skedarin e ChromeLoader.

Kur të ekzekutohet, skedari ISO do të montohet në sistem si një disk virtual CD-ROM. Për të ruajtur iluzionin se i përket softuerit ose lojës së pritshme të thyer, skedari përmban një ekzekutues me një emër të ngjashëm me 'CS_Installer.exe.' Hapi tjetër në zinxhirin e sulmit përfshin ekzekutimin e një komande PowerShell përgjegjëse për marrjen e një arkivi specifik nga një vendndodhje e largët. Më pas, arkivi do të ngarkohet në sistem si një shtesë e Google Chrome. Hapi i fundit përdor përsëri PowerShell, por këtë herë për të hequr një detyrë plani të krijuar më parë.

Pajisjet Mac mund të preken

Operatorët e ChromeLoader kanë shtuar gjithashtu mundësinë për të komprometuar shfletuesit Safari të Apple. Rrjedha e përgjithshme e infeksionit mbetet e njëjtë, por skedari fillestar ISO është zëvendësuar me llojin më të zakonshëm të skedarit DMG (Apple Disk Image) në pajisjet OS. Varianti macOS përdor gjithashtu një skript bash për të marrë dhe dekompresuar shtesën ChromeLoader. Rrëmbyesi i shfletuesit do të hidhet në direktorinë 'private/var/tmp'. Për të siguruar qëndrueshmërinë e tij në Mac, ChromeLoader shton një skedar 'plist' në '/Library/LaunchAgents'.