Tenga cuidado con un secuestrador de navegador persistente y generalizado capaz de modificar la configuración del navegador y redirigir el tráfico de usuarios a sitios de publicidad. Los investigadores de seguridad advierten sobre un aumento de ChromeLoader campañas. La amenaza se observó por primera vez a principios de febrero., pero ahora está pasando por un resurgimiento, advierten investigadores de RedCanary.
Una mirada a ChromeLoader
Chromeloader es un malware de secuestro de navegador persistente que se presenta a través de un archivo ISO y engaña a los usuarios para que lo ejecuten.. Su finalidad es llevar a cabo publicidad maliciosa campañas. El secuestrador se distribuye en sitios web para software descifrado, como videojuegos pirateados y películas y series de televisión pirateadas. La amenaza también podría estar incluida en los instaladores de programas pirateados.
Está clasificado como sospechoso. extensión del navegador que redirige el tráfico, pero como usa PowerShell para inyectarse en el navegador, no debe ser subestimado.
“Si se aplica a una amenaza de mayor impacto, como un recolector de credenciales o software espía, este comportamiento de PowerShell podría ayudar al malware a establecerse inicialmente y pasar desapercibido antes de realizar una actividad más abiertamente maliciosa., como filtrar datos de las sesiones del navegador de un usuario,”Advirtieron los investigadores.
¿Cómo se propaga ChromeLoader??
El secuestrador del navegador viene en forma de archivo ISO, disfrazado de torrent o software pirateado. Los lugares de distribución incluyen pago por instalación y plataformas de redes sociales.. Una vez ejecutada, el archivo se extrae y se monta como una unidad en la computadora comprometida. El archivo ISO también contiene un ejecutable que suelta ChromelOADER y un contenedor .NEW para el Programador de tareas de Windows., utilizado para ganar persistencia en la máquina de la víctima.
ChromeLoader también utiliza la denominada inyección entre procesos en svchost.exe. Es de destacar que la inyección a menudo es utilizada por aplicaciones legítimas, pero puede ser sospechosa si el proceso de origen se encuentra en una unidad virtual..
“Es una buena idea estar atento a los procesos que se ejecutan desde rutas de archivo que no hacen referencia al C predeterminado.:\unidad y que inician un identificador de procesos cruzados en un proceso que está en el C:\manejar. Esto no solo ofrecerá visibilidad de la actividad de ChromeLoader, sino también en los muchos gusanos que se originan en unidades extraíbles y se inyectan en C:\procesos de accionamiento, como explorer.exe, para propagar en la máquina de una víctima," los investigadores dijo.
Versión ChromeLoader macOS también disponible
La versión de macOS utiliza la misma técnica de distribución., con la ligera diferencia de que despliega “publicaciones en redes sociales con publicaciones QR o enlaces”. Estos redirigen a los usuarios a sitios maliciosos de descarga de pago por instalación.. La versión de macOS usa un archivo DMG en lugar de un archivo ISO. Este archivo contiene una secuencia de comandos de instalación que descarga cargas útiles para Chrome o Safari. Una vez ejecutada, la secuencia de comandos del instalador inicia cURL para recuperar un archivo ZIP que contiene la extensión del navegador malicioso, que se descomprime dentro del directorio private/var/tmp. La etapa final es ejecutar el navegador con opciones de línea de comandos para cargar la extensión maliciosa..
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: