Fai attenzione a un browser hijacker persistente e diffuso in grado di modificare le impostazioni del browser e reindirizzare il traffico degli utenti verso siti pubblicitari. I ricercatori di sicurezza avvertono di un aumento di Caricatore Chrome campagne. La minaccia è stata osservata per la prima volta all'inizio di febbraio, ma ora sta attraversando una rinascita, avvertono i ricercatori di RedCanary.
Uno sguardo a ChromeLoader
Chromeloader è un malware persistente di dirottamento del browser che si introduce tramite un file ISO e induce gli utenti a eseguirlo. Il suo scopo è quello di realizzare malvertising campagne. Il dirottatore è distribuito su siti Web per software crackato, come videogiochi crackati e film e serie TV piratati. La minaccia potrebbe anche essere inclusa negli installatori di programmi piratati.
È classificato come sospetto estensione del browser che reindirizza il traffico, ma poiché utilizza PowerShell per iniettarsi nel browser, non va sottovalutato.
"Se applicato a una minaccia a più alto impatto, come una raccolta di credenziali o uno spyware, questo comportamento di PowerShell potrebbe aiutare il malware a prendere piede iniziale e passare inosservato prima di eseguire attività più apertamente dannose, come estrarre i dati dalle sessioni del browser di un utente,”I ricercatori hanno messo in guardia.
Come viene propagato ChromeLoader?
Il browser hijacker si presenta sotto forma di un file ISO, mascherato da torrent o software piratato. I luoghi di distribuzione includono piattaforme pay-per-install e social media. Una volta eseguito, il file viene estratto e montato come unità sul computer compromesso. Il file ISO contiene anche un eseguibile che rilascia ChromelOADER e un wrapper .NEW per l'Utilità di pianificazione di Windows, utilizzato per ottenere persistenza sulla macchina della vittima.
ChromeLoader utilizza anche la cosiddetta iniezione di processi incrociati in svchost.exe. È interessante notare che l'iniezione è spesso utilizzata da applicazioni legittime ma potrebbe essere sospetta se il processo di origine si trova su un'unità virtuale.
"È una buona idea tenere d'occhio i processi in esecuzione da percorsi di file che non fanno riferimento al C predefinito:\drive e che avviano un handle tra processi in un processo che si trova sul C:\guidare. Ciò non solo offrirà visibilità sull'attività di ChromeLoader, ma anche nei numerosi worm che provengono da unità rimovibili e si iniettano in C:\guidare i processi, come explorer.exe, propagarsi sulla macchina della vittima,”i ricercatori disse.
Disponibile anche la versione per macOS ChromeLoader
La versione macOS utilizza la stessa tecnica di distribuzione, con la leggera differenza che distribuisce "post sui social media innescati con post o link QR". Questi reindirizzano gli utenti a siti di download pay-per-install dannosi. La versione macOS utilizza un file DMG anziché un file ISO. Questo file contiene uno script di installazione che rilascia i payload per Chrome o Safari. Una volta eseguito, lo script del programma di installazione avvia cURL per recuperare un file ZIP che contiene l'estensione del browser dannoso, che viene decompresso nella directory private/var/tmp. La fase finale è l'esecuzione del browser con le opzioni della riga di comando per caricare l'estensione dannosa.