ブラウザの設定を変更し、ユーザートラフィックを広告サイトにリダイレクトできる永続的で広範囲にわたるブラウザハイジャッカーに注意してください. セキュリティ研究者はの増加について警告しています ChromeLoader キャンペーン. 脅威は2月上旬に最初に観察されました, しかし今、復活を遂げています, RedCanaryの研究者に警告する.
ChromeLoaderの調査
Chromeloaderは、ISOファイルを介して自己紹介し、ユーザーをだまして実行させる永続的なブラウザハイジャックマルウェアです。. その目的は実行することです マルバタイジング キャンペーン. ハイジャッカーは、クラックされたソフトウェアのWebサイトで配布されます, ひびの入ったビデオゲームや海賊版映画、テレビシリーズなど. 脅威は、海賊版プログラムのインストーラーにも含まれる可能性があります.
疑わしいものとして分類されます ブラウザ拡張機能 トラフィックをリダイレクトします, ただし、PowerShellを使用してブラウザーに自分自身を挿入するため, 過小評価してはいけません.
「クレデンシャルハーベスターやスパイウェアなど、影響の大きい脅威に適用された場合、このPowerShellの動作は、マルウェアが最初の足掛かりを得て、より明白に悪意のあるアクティビティを実行する前に検出されなくなる可能性があります。, ユーザーのブラウザセッションからデータを盗み出すようなもの,」研究者たちは警告した.
ChromeLoaderはどのように伝播されますか?
ブラウザハイジャッカーはISOファイルの形式で提供されます, トレントまたは海賊版ソフトウェアになりすました. 配布場所には、インストールごとの支払いとソーシャルメディアプラットフォームが含まれます. 実行されると, ファイルが抽出され、侵入先のコンピュータにドライブとしてマウントされます. ISOファイルには、ChromelOADERを削除する実行可能ファイルとWindowsタスクスケジューラ用の.NEWラッパーも含まれています, 被害者のマシンで永続性を獲得するために使用されます.
ChromeLoaderは、svchost.exeへのいわゆるクロスプロセスインジェクションも使用します. インジェクションは正規のアプリケーションでよく使用されますが、元のプロセスが仮想ドライブにある場合は疑わしい可能性があることに注意してください。.
「デフォルトのCを参照しないファイルパスから実行されるプロセスに注意することをお勧めします。:\ドライブであり、C上にあるプロセスへのクロスプロセスハンドルを開始します:\ドライブ. これは、ChromeLoaderアクティビティの可視性を提供するだけではありません, だけでなく、リムーバブルドライブから発生してCに注入する多くのワームにも:\ドライブプロセス, explorer.exeのように, 被害者のマシン上で伝播する,」研究者 言った.
ChromeLoadermacOSバージョンも利用可能
macOSバージョンは同じ配布技術を使用します, 「QR投稿またはリンク付きのベイトソーシャルメディア投稿」を展開するというわずかな違いがあります. これらは、ユーザーを悪意のあるインストールごとの有料ダウンロードサイトにリダイレクトします. macOSバージョンは、ISOファイルではなくDMGファイルを使用します. このファイルには、ChromeまたはSafariのペイロードをドロップするインストーラースクリプトが含まれています. 実行されると, インストーラースクリプトはcURLを開始して、悪意のあるブラウザー拡張機能を含むZIPファイルを取得します, これはprivate/var/tmpディレクトリ内で解凍されます. 最終段階は、悪意のある拡張機能をロードするためのコマンドラインオプションを使用してブラウザを実行することです。.