ChromeLoader
ChromeLoader-appen har klassificerats som en webbläsarkapare. Som sådan är dess mål att ta kontroll över flera viktiga webbläsarinställningar för att generera artificiell trafik mot marknadsförda sidor eller leverera oönskade och opålitliga annonser till systemet. Annonser förknippade med webbläsarkapare, adware eller andra PUPs (potentiellt oönskade program) marknadsför ofta påträngande mjukvaruprodukter, bluffwebbplatser, falska giveaways, nätfiskeportaler, misstänkta vuxenspel eller vuxenorienterade webbplatser.
Medan ChromeLoader har alla dessa typiska webbläsarkaparfunktioner, är den också utrustad med några enastående funktioner. Detaljer om ansökan avslöjades för allmänheten i en rapport från cybersäkerhetsforskare på Red Canary. Enligt deras resultat visar ChromeLoader omfattande användning av PowerShell.
Infektion vektor
Applikationen sprids som ett skadat ISO-arkiv. Denna ISO-fil är förklädd som en knäckt körbar fil för populära videospel eller kommersiell programvara. Det är mycket troligt att användare som besöker webbplatser som sprider spruckna versioner av sådana produkter, förmodligen laddat ner ChromeLoader-filen själva.
När den körs kommer ISO-filen att monteras på systemet som en virtuell CD-ROM-enhet. För att upprätthålla illusionen att den tillhör den förväntade knäckta programvaran eller spelet, innehåller filen en körbar fil med ett namn som liknar 'CS_Installer.exe.' Nästa steg i attackkedjan innebär att exekvera ett PowerShell-kommando som ansvarar för att hämta ett specifikt arkiv från en fjärrplats. Arkivet kommer sedan att laddas in i systemet som en Google Chrome-tillägg. Det sista steget använder PowerShell igen, men den här gången för att ta bort en tidigare skapad schemauppgift.
Mac-enheter kan påverkas
Operatörerna av ChromeLoader har också lagt till möjligheten att äventyra Apples Safari-webbläsare. Det allmänna flödet av infektionen förblir detsamma, men den initiala ISO-filen har ersatts med den vanligare på OS-enheter DMG-filtypen (Apple Disk Image). MacOS-varianten använder också ett bash-skript för att hämta och dekomprimera ChromeLoader-tillägget. Webbläsarkaparen kommer att släppas i katalogen 'private/var/tmp'. För att säkerställa att den är kvar på Mac lägger ChromeLoader till en 'plist'-fil till '/Library/LaunchAgents'.
