Pas op voor een hardnekkige en wijdverbreide browserkaper die browserinstellingen kan wijzigen en gebruikersverkeer kan omleiden naar advertentiesites. Beveiligingsonderzoekers waarschuwen voor een toename van ChromeLoader campagnes. De dreiging werd begin februari voor het eerst waargenomen, maar maakt nu een opleving door, waarschuw RedCanary-onderzoekers.
Een kijkje in ChromeLoader
Chromeloader is een hardnekkige malware voor het kapen van browsers die zichzelf introduceert via een ISO-bestand en gebruikers verleidt om het uit te voeren. Het doel is om uit te voeren malvertising campagnes. De kaper wordt verspreid op websites voor gekraakte software, zoals gekraakte videogames en illegale films en tv-series. De dreiging kan ook worden opgenomen in de installatieprogramma's van illegale programma's.
Het is geclassificeerd als een verdacht browser extensie dat het verkeer omleidt, maar aangezien het PowerShell gebruikt om zichzelf in de browser te injecteren, het moet niet worden onderschat.
“Als het wordt toegepast op een bedreiging met een grotere impact, zoals een credential harvester of spyware, kan dit PowerShell-gedrag malware helpen voet aan de grond te krijgen en onopgemerkt te blijven voordat het meer openlijk kwaadaardige activiteiten uitvoert., zoals het exfiltreren van gegevens uit de browsersessies van een gebruiker,”De onderzoekers waarschuwden.
Hoe wordt ChromeLoader gepropageerd??
De browserkaper komt in de vorm van een ISO-bestand, vermomd als een torrent of illegale software. Plaatsen van distributie zijn onder meer pay-per-install en sociale-mediaplatforms. Keer uitgevoerd, het bestand wordt uitgepakt en gemount als een schijf op de gecompromitteerde computer. Het ISO-bestand bevat ook een uitvoerbaar bestand dat ChromelOADER en een .NEW-wrapper voor Windows Taakplanner laat vallen, gebruikt om persistentie te krijgen op de machine van het slachtoffer.
ChromeLoader gebruikt ook de zogenaamde cross-process injectie in svchost.exe. Het is opmerkelijk dat de injectie vaak wordt gebruikt door legitieme applicaties, maar verdacht kan zijn als het oorspronkelijke proces zich op een virtuele schijf bevindt.
“Het is een goed idee om te letten op processen die worden uitgevoerd vanaf bestandspaden die niet verwijzen naar de standaard C:\drive en die een cross-process-handle initiëren in een proces dat zich op de C . bevindt:\rijden. Dit biedt niet alleen inzicht in de ChromeLoader-activiteit, maar ook in de vele wormen die afkomstig zijn van verwisselbare schijven en in C . injecteren:\processen aansturen, zoals explorer.exe, verspreiden op de machine van een slachtoffer," de onderzoekers zei.
ChromeLoader macOS-versie ook beschikbaar
De macOS-versie gebruikt dezelfde distributietechniek, met het kleine verschil dat het "gelokte sociale media-berichten met QR-berichten of links" inzet. Deze leiden gebruikers om naar kwaadaardige downloadsites die betalen per installatie. De macOS-versie gebruikt een DMG-bestand in plaats van een ISO-bestand. Dit bestand bevat een installatiescript dat payloads voor Chrome of Safari laat vallen. Keer uitgevoerd, het installatiescript start cURL om een ZIP-bestand op te halen dat de kwaadaardige browserextensie bevat, die is uitgepakt in de directory private/var/tmp. De laatste fase is het uitvoeren van de browser met opdrachtregelopties om de kwaadaardige extensie te laden.