Cuidado com um sequestrador de navegador persistente e generalizado capaz de modificar as configurações do navegador e redirecionar o tráfego do usuário para sites de anúncios. Pesquisadores de segurança estão alertando sobre um aumento de ChromeLoader campanhas. A ameaça foi observada pela primeira vez no início de fevereiro, mas agora está passando por um ressurgimento, alertar os pesquisadores do RedCanary.
Uma olhada no ChromeLoader
O Chromeloader é um malware persistente de seqüestro de navegador que se apresenta por meio de um arquivo ISO e engana os usuários para executá-lo. Sua finalidade é realizar malvertising campanhas. O sequestrador é distribuído em sites de software crackeado, como videogames crackeados e filmes e séries de TV piratas. A ameaça também pode ser incluída nos instaladores de programas piratas.
É classificado como suspeito extensão do navegador que redireciona o tráfego, mas como ele usa o PowerShell para se injetar no navegador, não deve ser subestimado.
“Se aplicado a uma ameaça de alto impacto – como um coletor de credenciais ou spyware – esse comportamento do PowerShell pode ajudar o malware a ganhar uma posição inicial e passar despercebido antes de realizar atividades mais abertamente maliciosas, como exfiltrar dados das sessões do navegador de um usuário,”Alertaram os pesquisadores.
Como o ChromeLoader é propagado?
O sequestrador de navegador vem na forma de um arquivo ISO, mascarado como um torrent ou software pirata. Os locais de distribuição incluem pagamento por instalação e plataformas de mídia social. Uma vez executado, o arquivo é extraído e montado como uma unidade no computador comprometido. O arquivo ISO também contém um executável que descarta o ChromelOADER e um wrapper .NEW para o Agendador de Tarefas do Windows, usado para ganhar persistência na máquina da vítima.
O ChromeLoader também usa a chamada injeção de processo cruzado em svchost.exe. Vale ressaltar que a injeção é frequentemente usada por aplicativos legítimos, mas pode ser suspeita se o processo de origem estiver localizado em uma unidade virtual.
“É uma boa ideia ficar de olho nos processos executados em caminhos de arquivo que não fazem referência ao padrão C:\unidade e que iniciam um identificador de processo cruzado em um processo que está no C:\dirigir. Isso não apenas oferecerá visibilidade da atividade do ChromeLoader, mas também nos muitos worms que se originam de unidades removíveis e injetam em C:\conduzir processos, como explorer.exe, para propagar na máquina de uma vítima," Os pesquisadores disse.
Versão para macOS do ChromeLoader também disponível
A versão do macOS usa a mesma técnica de distribuição, com a pequena diferença de que ele implanta “postagens de mídia social com mensagens QR ou links”. Esses redirecionam os usuários para sites de download pagos por instalação maliciosos. A versão do macOS usa um arquivo DMG em vez de um arquivo ISO. Este arquivo contém um script de instalação que descarta cargas úteis para Chrome ou Safari. Uma vez executado, o script do instalador inicia o cURL para recuperar um arquivo ZIP que contém a extensão maliciosa do navegador, que é descompactado no diretório private/var/tmp. O estágio final é executar o navegador com opções de linha de comando para carregar a extensão maliciosa.