ChromeLoader
Ang ChromeLoader app ay inuri bilang isang browser hijacker. Dahil dito, ang layunin nito ay kontrolin ang ilang mahahalagang setting ng Web browser upang makabuo ng artipisyal na trapiko patungo sa mga pino-promote na pahina o maghatid ng mga hindi gusto at hindi mapagkakatiwalaang mga ad sa system. Ang mga patalastas na nauugnay sa mga browser hijacker, adware, o iba pang mga PUP (Potensyal na Mga Hindi Kanais-nais na Programa) ay kadalasang nagpo-promote ng mga mapanghimasok na produkto ng software, mga hoax na website, mga pekeng giveaway, mga portal ng phishing, mga kahina-hinalang larong pang-adulto o mga site na nakatuon sa pang-adulto.
Bagama't ang ChromeLoader ay nagtataglay ng lahat ng mga tipikal na kakayahan ng browser hijacker, ito ay nilagyan din ng ilang mga natatanging tampok. Ang mga detalye tungkol sa aplikasyon ay inihayag sa publiko sa isang ulat ng mga mananaliksik ng cybersecurity sa Red Canary. Ayon sa kanilang mga natuklasan, ipinapakita ng ChromeLoader ang malawakang paggamit ng PowerShell.
Vector ng Impeksyon
Ang application ay kumakalat bilang isang sirang ISO archive. Ang ISO file na ito ay disguised bilang isang basag na executable para sa mga sikat na video game o komersyal na software. Malaki ang posibilidad na ang mga user na bumibisita sa mga site na nagpapakalat ng mga basag na bersyon ng naturang mga produkto, ay malamang na nag-download ng file ng ChromeLoader mismo.
Kapag naisakatuparan, ang ISO file ay mai-mount sa system bilang isang virtual na CD-ROM drive. Upang mapanatili ang ilusyon na kabilang ito sa inaasahang basag na software o laro, naglalaman ang file ng isang executable na may pangalang katulad ng 'CS_Installer.exe.' Ang susunod na hakbang sa chain ng pag-atake ay nagsasangkot ng pagpapatupad ng isang PowerShell command na responsable para sa pagkuha ng isang partikular na archive mula sa isang malayong lokasyon. Ilo-load ang archive sa system bilang extension ng Google Chrome. Ang huling hakbang ay gumagamit muli ng PowerShell, ngunit sa pagkakataong ito ay mag-alis ng dati nang ginawang gawain sa iskedyul.
Maaaring Maapektuhan ang Mga Mac Device
Ang mga operator ng ChromeLoader ay nagdagdag din ng kakayahang ikompromiso ang mga Safari browser ng Apple. Ang pangkalahatang daloy ng impeksyon ay nananatiling pareho, ngunit ang paunang ISO file ay napalitan ng mas karaniwan sa mga OS device na DMG (Apple Disk Image) na uri ng file. Gumagamit din ang variant ng macOS ng bash script para kunin at i-decompress ang extension ng ChromeLoader. Ang browser hijacker ay ihuhulog sa 'private/var/tmp' na direktoryo. Upang matiyak ang pananatili nito sa Mac, nagdaragdag ang ChromeLoader ng 'plist' na file sa '/Library/LaunchAgents.'
