ЦхромеЛоадер
Апликација ЦхромеЛоадер је класификована као отмичар прегледача. Као такав, његов циљ је да преузме контролу над неколико важних подешавања веб претраживача да генерише вештачки саобраћај ка промовисаним страницама или испоручи нежељене и непоуздане рекламе систему. Огласи повезани са отмичарима претраживача, рекламним софтвером или другим ПУП-овима (потенцијално нежељеним програмима) често промовишу наметљиве софтверске производе, лажне веб локације, лажне поклоне, портале за крађу идентитета, сумњиве игрице за одрасле или сајтове за одрасле.
Иако ЦхромеЛоадер поседује све ове типичне могућности отмичара претраживача, такође је опремљен неким изузетним функцијама. Детаљи о апликацији откривени су јавности у извештају истраживача сајбер безбедности у Црвеном канарију. Према њиховим налазима, ЦхромеЛоадер показује широку употребу ПоверСхелл-а.
Вектор инфекције
Апликација се шири као оштећена ИСО архива. Ова ИСО датотека је маскирана као крекована извршна датотека за популарне видео игре или комерцијални софтвер. Врло је вероватно да су корисници који посећују сајтове који шире крековане верзије таквих производа, вероватно сами преузели датотеку ЦхромеЛоадер-а.
Када се изврши, ИСО датотека ће бити монтирана на систем као виртуелни ЦД-РОМ уређај. Да би се одржала илузија да припада очекиваном крекованом софтверу или игрици, датотека садржи извршни фајл са именом сличним „ЦС_Инсталлер.еке“. Следећи корак у ланцу напада укључује извршавање ПоверСхелл команде одговорне за преузимање одређене архиве са удаљене локације. Архива ће се затим учитати у систем као додатак за Гоогле Цхроме. Последњи корак поново користи ПоверСхелл, али овог пута за уклањање претходно креираног задатка распореда.
Мац уређаји могу бити погођени
Оператери ЦхромеЛоадер-а су такође додали могућност да компромитују Аппле-ове Сафари претраживаче. Општи ток инфекције остаје исти, али је почетна ИСО датотека замењена типом датотеке ДМГ (Аппле Диск Имаге), уобичајенијим на ОС уређајима. МацОС варијанта такође користи басх скрипту за преузимање и декомпресију проширења ЦхромеЛоадер. Отмичар претраживача ће бити испуштен у директоријум 'привате/вар/тмп'. Да би осигурао његову постојаност на Мац-у, ЦхромеЛоадер додаје датотеку „плист“ у „/Либрари/ЛаунцхАгентс“.
