Pas på en vedvarende og udbredt browser hijacker, der er i stand til at ændre browserindstillinger og omdirigere brugertrafik til reklamewebsteder. Sikkerhedsforskere advarer om en stigning på ChromeLoader kampagner. Truslen blev først observeret i begyndelsen af februar, men gennemgår nu en genopblussen, advarer RedCanary-forskere.
Et kig på ChromeLoader
Chromeloader er en vedvarende browserkapring af malware, der introducerer sig selv via en ISO-fil og narre brugere til at udføre den. Dens formål er at udføre malvertising kampagner. Flykapreren distribueres på websteder for cracket software, såsom crackede videospil og piratkopierede film og tv-serier. Truslen kan også være inkluderet i installatørerne af piratkopierede programmer.
Det er klassificeret som mistænkeligt browserudvidelse der omdirigerer trafikken, men da den bruger PowerShell til at injicere sig selv i browseren, det skal ikke undervurderes.
"Hvis den anvendes på en trussel med større indvirkning - såsom en legitimationsindsamling eller spyware - kan denne PowerShell-adfærd hjælpe malware med at få et indledende fodfæste og blive uopdaget, før den udfører mere åbenlyst ondsindet aktivitet, som at eksfiltrere data fra en brugers browsersessioner,”Forskerne advaret.
Hvordan udbredes ChromeLoader?
Browser hijacker kommer i form af en ISO-fil, forklædt som en torrent eller piratkopieret software. Distributionssteder omfatter pay-per-install og sociale medieplatforme. Når henrettet, filen udpakkes og monteres som et drev på den kompromitterede computer. ISO-filen indeholder også en eksekverbar, der slipper ChromelOADER og en .NEW-indpakning til Windows Task Scheduler, bruges til at få vedholdenhed på ofrets maskine.
ChromeLoader bruger også den såkaldte cross-proces-injection i svchost.exe. Det er bemærkelsesværdigt, at injektionen ofte bruges af legitime applikationer, men kan være mistænkelig, hvis den oprindelige proces er placeret på et virtuelt drev.
"Det er en god idé at holde øje med processer, der udføres fra filstier, der ikke refererer til standard C:\drev og som initierer et krydsproceshåndtag til en proces, der er på C:\køre. Dette giver ikke kun synlighed i ChromeLoader-aktivitet, men også i de mange orme, der stammer fra flytbare drev og injicerer i C:\drive processer, som explorer.exe, at forplante sig på et offers maskine,”forskerne sagde.
ChromeLoader macOS-version også tilgængelig
MacOS-versionen bruger den samme distributionsteknik, med den lille forskel, at den implementerer "lokkede sociale medieindlæg med QR-indlæg eller links". Disse omdirigerer brugere til ondsindede pay-per-install download-websteder. MacOS-versionen bruger en DMG-fil i stedet for en ISO-fil. Denne fil indeholder et installationsscript, der fjerner nyttelast for enten Chrome eller Safari. Når henrettet, installationsscriptet starter cURL for at hente en ZIP-fil, der indeholder den ondsindede browserudvidelse, som udpakkes i mappen private/var/tmp. Det sidste trin er at udføre browseren med kommandolinjeindstillinger for at indlæse den ondsindede udvidelse.