Méfiez-vous d'un pirate de navigateur persistant et répandu capable de modifier les paramètres du navigateur et de rediriger le trafic des utilisateurs vers des sites publicitaires. Les chercheurs en sécurité mettent en garde contre une augmentation de ChromeLoader campagnes. La menace a été observée pour la première fois début février, mais connaît maintenant une résurgence, avertissent les chercheurs de RedCanary.
Un regard sur ChromeLoader
Chromeloader est un logiciel malveillant de piratage de navigateur persistant qui se présente via un fichier ISO et incite les utilisateurs à l'exécuter. Son but est de réaliser malvertising campagnes. Le pirate de l'air est distribué sur des sites Web pour les logiciels piratés, tels que les jeux vidéo piratés et les films et séries télévisées piratés. La menace pourrait également être incluse dans les installateurs de programmes piratés.
Il est classé comme suspect extension de navigateur qui redirige le trafic, mais comme il utilise PowerShell pour s'injecter dans le navigateur, il ne faut pas sous-estimer.
"S'il est appliqué à une menace à plus fort impact, telle qu'un collecteur d'informations d'identification ou un logiciel espion, ce comportement PowerShell pourrait aider les logiciels malveillants à s'implanter et à passer inaperçus avant d'effectuer des activités plus ouvertement malveillantes., comme l'exfiltration de données à partir des sessions de navigateur d'un utilisateur,» Les chercheurs ont mis en garde contre.
Comment se propage ChromeLoader?
Le pirate de navigateur se présente sous la forme d'un fichier ISO, déguisé en torrent ou logiciel piraté. Les lieux de distribution comprennent le paiement par installation et les plateformes de médias sociaux. Une fois exécuté, le fichier est extrait et monté en tant que lecteur sur l'ordinateur compromis. Le fichier ISO contient également un exécutable qui dépose ChromelOADER et un wrapper .NEW pour le planificateur de tâches Windows, utilisé pour gagner en persistance sur la machine de la victime.
ChromeLoader utilise également la soi-disant injection inter-processus dans svchost.exe. Il est à noter que l'injection est souvent utilisée par des applications légitimes mais peut être suspecte si le processus d'origine se trouve sur un lecteur virtuel.
"C'est une bonne idée de garder un œil sur les processus qui s'exécutent à partir de chemins de fichiers qui ne font pas référence au C par défaut:\lecteur et qui initient un handle inter-processus dans un processus qui se trouve sur le C:\conduire. Cela offrira non seulement une visibilité sur l'activité de ChromeLoader, mais aussi dans les nombreux vers qui proviennent des lecteurs amovibles et s'injectent dans C:\piloter les processus, comme explorer.exe, se propager sur la machine d'une victime," les chercheurs dit.
Version macOS de ChromeLoader également disponible
La version macOS utilise la même technique de distribution, avec la légère différence qu'il déploie "des publications appâtées sur les réseaux sociaux avec des publications ou des liens QR". Ceux-ci redirigent les utilisateurs vers des sites de téléchargement malveillants payants à l'installation. La version macOS utilise un fichier DMG plutôt qu'un fichier ISO. Ce fichier contient un script d'installation qui supprime les charges utiles pour Chrome ou Safari. Une fois exécuté, le script d'installation lance cURL pour récupérer un fichier ZIP contenant l'extension de navigateur malveillante, qui est décompressé dans le répertoire privé/var/tmp. La dernière étape consiste à exécuter le navigateur avec des options de ligne de commande pour charger l'extension malveillante.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: