ChromeLoader
Додаток ChromeLoader було класифіковано як зловмисник браузера. Таким чином, його мета — взяти під контроль кілька важливих налаштувань веб-браузера, щоб створити штучний трафік до рекламованих сторінок або розмістити небажану та ненадійну рекламу в системі. Реклама, пов’язана зі зловмисниками браузера, рекламним програмним забезпеченням або іншими ПНП (потенційно небажаними програмами), часто рекламує нав’язливі програмні продукти, фіктивні веб-сайти, підроблені роздачі, фішингові портали, підозрілі ігри для дорослих або сайти, орієнтовані на дорослих.
Хоча ChromeLoader володіє всіма цими типовими можливостями викрадника браузера, він також оснащений деякими видатними функціями. Деталі програми були розкриті громадськості у звіті дослідників кібербезпеки Red Canary. Згідно з їхніми висновками, ChromeLoader демонструє широке використання PowerShell.
Вектор інфекції
Програма поширюється як пошкоджений архів ISO. Цей файл ISO замаскований під зламаний виконуваний файл для популярних відеоігор або комерційного програмного забезпечення. Цілком ймовірно, що користувачі, які відвідують сайти, що поширюють зламані версії таких продуктів, ймовірно, самі завантажили файл ChromeLoader.
Після виконання ISO-файл буде змонтовано в системі як віртуальний привід CD-ROM. Щоб зберегти ілюзію, що він належить до очікуваного зламаного програмного забезпечення або гри, файл містить виконуваний файл з іменем, схожим на «CS_Installer.exe». Наступний крок у ланцюжку атаки включає виконання команди PowerShell, відповідальної за отримання певного архіву з віддаленого місця. Після цього архів буде завантажено в систему як розширення Google Chrome. На останньому кроці знову використовується PowerShell, але цього разу для видалення раніше створеного завдання розкладу.
Пристрої Mac можуть постраждати
Оператори ChromeLoader також додали можливість скомпрометувати браузери Apple Safari. Загальний перебіг зараження залишається незмінним, але початковий файл ISO був замінений на більш поширений на пристроях ОС тип файлу DMG (Apple Disk Image). У варіанті macOS також використовується сценарій bash для отримання та розпакування розширення ChromeLoader. Викрадач браузера буде переміщено в каталог 'private/var/tmp'. Щоб забезпечити його постійність на Mac, ChromeLoader додає файл 'plist' до '/Library/LaunchAgents'.
