Το κακόβουλο λογισμικό ChromeLoader, ένα browser hijacker malware, παρατηρήθηκε σε πολλές επιθέσεις αυτό το μήνα, με αποτέλεσμα η παραβίαση των προγραμμάτων περιήγησης να αποτελεί τώρα μια ευρέως διαδεδομένη απειλή.
Το ChromeLoader malware, ως browser hijacker, μπορεί να τροποποιήσει τις ρυθμίσεις του προγράμματος περιήγησης του θύματος για να εμφανίζει αποτελέσματα αναζήτησης που προωθούν ανεπιθύμητο λογισμικό, ψεύτικα giveaways και έρευνες, καθώς και παιχνίδια για ενήλικες και ιστότοπους γνωριμιών.
Δείτε επίσης: Οι πτήσεις της SpiceJet επηρεάστηκαν από μια επίθεση ransomware
Οι χειριστές του κακόβουλου λογισμικού, χρησιμοποιούν το malware για να βγάλουν χρήματα. Πώς το καταφέρνουν αυτό; Χρησιμοποιούν ένα σύστημα marketing affiliation, ανακατευθύνοντας την επισκεψιμότητα των χρηστών σε ιστότοπους διαφήμισης.
Αποκαλύφθηκαν τα Cybercab robotaxi και Tesla Robovan
Πώς τα εργαλεία της OpenAI επηρεάζουν τις εκλογές;
Ο κομήτης C/2024 S1 μπορεί να είναι ορατός με γυμνό μάτι
Υπάρχουν πολλά malware αυτού του είδους που παραβιάζουν browsers, αλλά σύμφωνα με τους ειδικούς, το ChromeLoader ξεχωρίζει για το persistence, τον όγκο και τη διαδρομή μόλυνσης, η οποία περιλαμβάνει την “επιθετική” χρήση PowerShell.
Κατάχρηση PowerShell
Οι ερευνητές της Red Canary, οι οποίοι παρακολουθούν τη δραστηριότητα του ChromeLoader malware από τον Φεβρουάριο του τρέχοντος έτους, λένε ότι οι χειριστές του χρησιμοποιούν ένα κακόβουλο ISO archive file για να μολύνουν τα θύματά τους.
Το ISO μεταμφιέζεται ως cracked εκτελέσιμο αρχείο για ένα παιχνίδι ή εμπορικό λογισμικό. Αυτό σημαίνει ότι στις περισσότερες περιπτώσεις τα θύματα μπορεί να το κατεβάζουν μόνοι τους από torrent ή κακόβουλα sites.
Δείτε επίσης: BPFDoor malware: Χρησιμοποιεί ευπάθεια Solaris για να αποκτήσει δικαιώματα root
Οι ερευνητές παρατήρησαν ότι οι επιτιθέμενοι αξιοποιούν και τα social media για να προσεγγίσουν τους χρήστες. Οι ειδικοί εντόπισαν αναρτήσεις στο Twitter που προωθούν “σπασμένα” παιχνίδια Android και προσφέρουν QR codes, τα οποία οδηγούν σε sites που φιλοξενούν κακόβουλο λογισμικό.
Όταν ένα άτομο κάνει διπλό κλικ στο ISO file στα Windows 10 ή σε νεότερη έκδοση, το ISO file θα προσαρτηθεί ως virtual CD-ROM drive. Αυτό το ISO file περιέχει ένα εκτελέσιμο αρχείο που χρησιμοποιείται για την εκτέλεση του ChromeLoader malware. Το εκτελέσιμο υποτίθεται είναι game crack ή keygen και χρησιμοποιεί ονόματα όπως “CS_Installer.exe”.
Τέλος, μετά από διάφορες διεργασίες, το ChromeLoader εκτελεί και αποκωδικοποιεί μια εντολή PowerShell που ανακτά ένα αρχείο από έναν απομακρυσμένο πόρο και το φορτώνει ως επέκταση του Google Chrome που παραβιάζει το πρόγραμμα περιήγησης και χειρίζεται τα αποτελέσματα της μηχανής αναζήτησης.
Το ChromeLoader στοχεύει και το macOS
Οι χειριστές του ChromeLoader malware στοχεύουν επίσης συστήματα macOS, με σκοπό να παραβιάσουν τόσο τον Chrome όσο και τον Safari browser της Apple. Η αλυσίδα μόλυνσης στο macOS είναι παρόμοια, αλλά αντί για ISO, οι φορείς απειλών χρησιμοποιούν αρχεία DMG (Apple Disk Image), καθώς είναι μια πιο κοινή μορφή στο λειτουργικό σύστημα της Apple.
Δείτε επίσης: Mozilla: Επιδιορθώνει zero-days που αξιοποιήθηκαν στο Pwn2Own
Επιπλέον, αντί για το installer executable, η παραλλαγή macOS χρησιμοποιεί ένα installer bash script που κατεβάζει και αποσυμπιέζει την επέκταση ChromeLoader στον κατάλογο “private/var/tmp”.
“Για να διατηρήσει το persistence, η παραλλαγή macOS του ChromeLoader malware θα προσαρτήσει ένα preference (`plist`) file στον κατάλογο `/Library/LaunchAgents“, εξηγεί η αναφορά της Red Canary.
“Αυτό διασφαλίζει ότι κάθε φορά που ένας χρήστης συνδέεται σε ένα graphical session, το Bash script του ChromeLoader μπορεί να εκτελείται συνεχώς“.
Για περισσότερες πληροφορίες σχετικά με το ChromeLoader malware και τη λειτουργία του, δείτε την έκθεση της Red Canary.
Πηγή: www.bleepingcomputer.com