Hüten Sie sich vor einem hartnäckigen und weit verbreiteten Browserentführer, der in der Lage ist, Browsereinstellungen zu ändern und den Benutzerverkehr auf Werbeseiten umzuleiten. Sicherheitsforscher warnen vor einer Zunahme ChromeLoader Kampagnen. Die Bedrohung wurde erstmals Anfang Februar beobachtet, aber erlebt jetzt einen Wiederaufstieg, warnen RedCanary-Forscher.
Ein Blick in ChromeLoader
Chromeloader ist eine hartnäckige Browser-Hijacking-Malware, die sich über eine ISO-Datei einfügt und Benutzer dazu verleitet, sie auszuführen. Sein Zweck ist die Durchführung Malvertising Kampagnen. Der Hijacker wird auf Websites für geknackte Software verbreitet, wie gecrackte Videospiele und Raubkopien von Filmen und Fernsehserien. Die Bedrohung könnte auch in den Installationsprogrammen von Raubkopien enthalten sein.
Es wird als verdächtig eingestuft Browser-Erweiterung das den Verkehr umleitet, aber da es PowerShell verwendet, um sich in den Browser einzufügen, es sollte nicht unterschätzt werden.
„Wird dieses PowerShell-Verhalten auf eine Bedrohung mit größerer Auswirkung angewendet – wie z. B. einen Credential Harvester oder Spyware –, könnte dieses PowerShell-Verhalten dazu beitragen, dass Malware zunächst Fuß fasst und unentdeckt bleibt, bevor sie offenkundig böswilligere Aktivitäten ausführt, wie das Exfiltrieren von Daten aus den Browsersitzungen eines Benutzers,“Die Forscher gewarnt.
Wie wird ChromeLoader verbreitet?
Der Browser-Hijacker liegt in Form einer ISO-Datei vor, als Torrent oder Raubkopien getarnte Software. Zu den Vertriebsorten gehören Pay-per-Install- und Social-Media-Plattformen. Einmal ausgeführt, Die Datei wird extrahiert und als Laufwerk auf dem kompromittierten Computer bereitgestellt. Die ISO-Datei enthält auch eine ausführbare Datei, die ChromelOADER und einen .NEW-Wrapper für den Windows-Taskplaner ablegt, verwendet, um auf dem Computer des Opfers Persistenz zu erlangen.
ChromeLoader nutzt auch die sogenannte Cross-Process Injection in svchost.exe. Es ist bemerkenswert, dass die Injektion häufig von legitimen Anwendungen verwendet wird, aber verdächtig sein kann, wenn sich der ursprüngliche Prozess auf einem virtuellen Laufwerk befindet.
„Es ist eine gute Idee, nach Prozessen Ausschau zu halten, die von Dateipfaden ausgeführt werden, die nicht auf das Standard-C verweisen:\Laufwerk und die ein prozessübergreifendes Handle in einen Prozess initiieren, der sich auf C befindet:\Fahrt. Dies bietet nicht nur Einblick in die ChromeLoader-Aktivität, sondern auch in die vielen Würmer, die von Wechseldatenträgern stammen und in C:\Antriebsprozesse, wie explorer.exe, auf der Maschine eines Opfers zu verbreiten," die Forscher sagte.
ChromeLoader macOS-Version ebenfalls verfügbar
Die macOS-Version verwendet dieselbe Verteilungstechnik, mit dem kleinen Unterschied, dass es „geköderte Social-Media-Posts mit QR-Posts oder Links“ einsetzt.. Diese leiten Benutzer auf bösartige Pay-per-Install-Downloadseiten um. Die macOS-Version verwendet eine DMG-Datei anstelle einer ISO-Datei. Diese Datei enthält ein Installationsskript, das Payloads für Chrome oder Safari ablegt. Einmal ausgeführt, Das Installationsskript initiiert cURL, um eine ZIP-Datei abzurufen, die die schädliche Browsererweiterung enthält, die im Verzeichnis private/var/tmp entpackt wird. Die letzte Stufe besteht darin, den Browser mit Befehlszeilenoptionen auszuführen, um die schädliche Erweiterung zu laden.