ChromeYükleyici
ChromeLoader uygulaması bir tarayıcı korsanı olarak sınıflandırıldı. Bu nedenle amacı, tanıtılan sayfalara yönelik yapay trafik oluşturmak veya sisteme istenmeyen ve güvenilmez reklamlar sunmak için birkaç önemli Web tarayıcı ayarı üzerinde kontrolü ele geçirmektir. Tarayıcı korsanları, reklam yazılımları veya diğer PUP'lar (Potansiyel Olarak İstenmeyen Programlar) ile ilişkili reklamlar genellikle araya giren yazılım ürünlerini, sahte web sitelerini, sahte eşantiyonları, kimlik avı portallarını, şüpheli yetişkin oyunlarını veya yetişkinlere yönelik siteleri tanıtır.
ChromeLoader, bu tipik tarayıcı korsanı özelliklerinin tümüne sahip olsa da, bazı göze çarpan özelliklerle de donatılmıştır. Uygulamayla ilgili ayrıntılar, Red Canary'deki siber güvenlik araştırmacıları tarafından hazırlanan bir raporda kamuoyuna açıklandı. Bulgularına göre ChromeLoader, PowerShell'in kapsamlı bir şekilde kullanıldığını gösteriyor.
enfeksiyon vektörü
Uygulama, bozuk bir ISO arşivi olarak yayılır. Bu ISO dosyası, popüler video oyunları veya ticari yazılımlar için kırılmış bir yürütülebilir dosya olarak gizlenmiştir. Bu tür ürünlerin crackli sürümlerini yayan siteleri ziyaret eden kullanıcıların büyük ihtimalle ChromeLoader'ın dosyasını kendileri indirmiş olmaları muhtemeldir.
Yürütüldüğünde, ISO dosyası sisteme sanal bir CD-ROM sürücüsü olarak monte edilecektir. Beklenen kırılmış yazılıma veya oyuna ait olduğu yanılsamasını sürdürmek için dosya, 'CS_Installer.exe'ye benzer bir ada sahip bir yürütülebilir dosya içerir. Saldırı zincirindeki bir sonraki adım, uzak bir konumdan belirli bir arşivi getirmekten sorumlu bir PowerShell komutunun yürütülmesini içerir. Arşiv daha sonra sisteme bir Google Chrome uzantısı olarak yüklenecektir. Son adım, yine PowerShell'i kullanır, ancak bu sefer önceden oluşturulmuş bir zamanlama görevini kaldırmak için.
Mac Cihazları Etkilenebilir
ChromeLoader operatörleri, Apple'ın Safari tarayıcılarından ödün verme özelliğini de ekledi. Enfeksiyonun genel akışı aynı kalır, ancak ilk ISO dosyası, işletim sistemi aygıtlarında daha yaygın olan DMG (Apple Disk Image) dosya türüyle değiştirildi. macOS varyantı ayrıca ChromeLoader uzantısını getirmek ve sıkıştırmak için bir bash komut dosyası kullanır. Tarayıcı korsanı 'private/var/tmp' dizinine bırakılacak. Mac'te kalıcılığını sağlamak için ChromeLoader, '/Library/LaunchAgents' dizinine bir 'plist' dosyası ekler.
