ChromeLoader
แอป ChromeLoader ถูกจัดประเภทเป็นนักจี้เบราว์เซอร์ ด้วยเหตุนี้ เป้าหมายของมันคือการควบคุมการตั้งค่าเว็บเบราว์เซอร์ที่สำคัญหลายๆ อย่าง เพื่อสร้างทราฟฟิกปลอมไปยังเพจที่ได้รับการโปรโมท หรือส่งโฆษณาที่ไม่พึงประสงค์และไม่น่าไว้วางใจไปยังระบบ โฆษณาที่เกี่ยวข้องกับไฮแจ็คเกอร์เบราว์เซอร์ แอดแวร์ หรือ PUP อื่นๆ (โปรแกรมที่อาจไม่เป็นที่ต้องการ) มักจะส่งเสริมผลิตภัณฑ์ซอฟต์แวร์ที่ล่วงล้ำ เว็บไซต์หลอกลวง ของแจกปลอม พอร์ทัลฟิชชิ่ง เกมสำหรับผู้ใหญ่ที่น่าสงสัย หรือไซต์สำหรับผู้ใหญ่
แม้ว่า ChromeLoader จะมีความสามารถของนักจี้เบราว์เซอร์ทั่วไปเหล่านี้ทั้งหมด แต่ก็ยังมีคุณลักษณะที่โดดเด่นบางอย่างอยู่ด้วย รายละเอียดเกี่ยวกับแอปพลิเคชันถูกเปิดเผยต่อสาธารณะในรายงานโดยนักวิจัยด้านความปลอดภัยทางไซเบอร์ที่ Red Canary จากการค้นพบ ChromeLoader แสดงให้เห็นถึงการใช้งาน PowerShell อย่างกว้างขวาง
การติดเชื้อเวกเตอร์
แอปพลิเคชันแพร่กระจายเป็นไฟล์ ISO ที่เสียหาย ไฟล์ ISO นี้ปลอมแปลงเป็นไฟล์ปฏิบัติการแบบแคร็กสำหรับวิดีโอเกมยอดนิยมหรือซอฟต์แวร์เชิงพาณิชย์ มีความเป็นไปได้สูงที่ผู้ใช้ที่เข้าชมไซต์ที่เผยแพร่ผลิตภัณฑ์ดังกล่าวในเวอร์ชันที่ถูกแคร็ก อาจดาวน์โหลดไฟล์ของ ChromeLoader ด้วยตนเอง
เมื่อดำเนินการแล้ว ไฟล์ ISO จะถูกเมาท์บนระบบเป็นไดรฟ์ซีดีรอมเสมือน เพื่อรักษาภาพลวงตาว่าเป็นของซอฟต์แวร์หรือเกมที่มีการแคร็กที่คาดไว้ ไฟล์ดังกล่าวมีไฟล์ปฏิบัติการที่มีชื่อคล้ายกับ 'CS_Installer.exe' ขั้นตอนต่อไปในห่วงโซ่การโจมตีเกี่ยวข้องกับการดำเนินการคำสั่ง PowerShell ที่รับผิดชอบในการดึงข้อมูลที่เก็บถาวรเฉพาะจากตำแหน่งระยะไกล ไฟล์เก็บถาวรจะถูกโหลดเข้าสู่ระบบในฐานะส่วนขยายของ Google Chrome ขั้นตอนสุดท้ายใช้ PowerShell อีกครั้ง แต่คราวนี้จะลบงานกำหนดการที่สร้างไว้ก่อนหน้านี้
อุปกรณ์ Mac อาจได้รับผลกระทบ
ผู้ดำเนินการ ChromeLoader ยังได้เพิ่มความสามารถในการประนีประนอมเบราว์เซอร์ Safari ของ Apple ขั้นตอนทั่วไปของการติดเชื้อยังคงเหมือนเดิม แต่ไฟล์ ISO เริ่มต้นถูกแทนที่ด้วยประเภทไฟล์ DMG (Apple Disk Image) ทั่วไปในอุปกรณ์ OS ตัวแปร macOS ยังใช้สคริปต์ทุบตีเพื่อดึงและขยายส่วนขยาย ChromeLoader นักจี้เบราว์เซอร์จะถูกทิ้งลงในไดเร็กทอรี 'private/var/tmp' เพื่อให้มั่นใจถึงความคงอยู่ของมันบน Mac ChromeLoader จะเพิ่มไฟล์ 'plist' ลงใน '/Library/LaunchAgents'
