ΑρχικήsecurityChromeLoader: Το νέο malware που τροποποιεί τις ρυθμίσεις του browser

ChromeLoader: Το νέο malware που τροποποιεί τις ρυθμίσεις του browser

Το κακόβουλο λογισμικό ChromeLoader, ένα browser hijacker malware, παρατηρήθηκε σε πολλές επιθέσεις αυτό το μήνα, με αποτέλεσμα η παραβίαση των προγραμμάτων περιήγησης να αποτελεί τώρα μια ευρέως διαδεδομένη απειλή.

ChromeLoader malware browser

Το ChromeLoader malware, ως browser hijacker, μπορεί να τροποποιήσει τις ρυθμίσεις του προγράμματος περιήγησης του θύματος για να εμφανίζει αποτελέσματα αναζήτησης που προωθούν ανεπιθύμητο λογισμικό, ψεύτικα giveaways και έρευνες, καθώς και παιχνίδια για ενήλικες και ιστότοπους γνωριμιών.

Δείτε επίσης: Οι πτήσεις της SpiceJet επηρεάστηκαν από μια επίθεση ransomware

Οι χειριστές του κακόβουλου λογισμικού, χρησιμοποιούν το malware για να βγάλουν χρήματα. Πώς το καταφέρνουν αυτό; Χρησιμοποιούν ένα σύστημα marketing affiliation, ανακατευθύνοντας την επισκεψιμότητα των χρηστών σε ιστότοπους διαφήμισης.

Υπάρχουν πολλά malware αυτού του είδους που παραβιάζουν browsers, αλλά σύμφωνα με τους ειδικούς, το ChromeLoader ξεχωρίζει για το persistence, τον όγκο και τη διαδρομή μόλυνσης, η οποία περιλαμβάνει την “επιθετική” χρήση PowerShell.

Κατάχρηση PowerShell

Οι ερευνητές της Red Canary, οι οποίοι παρακολουθούν τη δραστηριότητα του ChromeLoader malware από τον Φεβρουάριο του τρέχοντος έτους, λένε ότι οι χειριστές του χρησιμοποιούν ένα κακόβουλο ISO archive file για να μολύνουν τα θύματά τους.

Το ISO μεταμφιέζεται ως cracked εκτελέσιμο αρχείο για ένα παιχνίδι ή εμπορικό λογισμικό. Αυτό σημαίνει ότι στις περισσότερες περιπτώσεις τα θύματα μπορεί να το κατεβάζουν μόνοι τους από torrent ή κακόβουλα sites.

Δείτε επίσης: BPFDoor malware: Χρησιμοποιεί ευπάθεια Solaris για να αποκτήσει δικαιώματα root

Οι ερευνητές παρατήρησαν ότι οι επιτιθέμενοι αξιοποιούν και τα social media για να προσεγγίσουν τους χρήστες. Οι ειδικοί εντόπισαν αναρτήσεις στο Twitter που προωθούν “σπασμένα” παιχνίδια Android και προσφέρουν QR codes, τα οποία οδηγούν σε sites που φιλοξενούν κακόβουλο λογισμικό.

Όταν ένα άτομο κάνει διπλό κλικ στο ISO file στα Windows 10 ή σε νεότερη έκδοση, το ISO file θα προσαρτηθεί ως virtual CD-ROM drive. Αυτό το ISO file περιέχει ένα εκτελέσιμο αρχείο που χρησιμοποιείται για την εκτέλεση του ChromeLoader malware. Το εκτελέσιμο υποτίθεται είναι game crack ή keygen και χρησιμοποιεί ονόματα όπως “CS_Installer.exe”.

Τέλος, μετά από διάφορες διεργασίες, το ChromeLoader εκτελεί και αποκωδικοποιεί μια εντολή PowerShell που ανακτά ένα αρχείο από έναν απομακρυσμένο πόρο και το φορτώνει ως επέκταση του Google Chrome που παραβιάζει το πρόγραμμα περιήγησης και χειρίζεται τα αποτελέσματα της μηχανής αναζήτησης.

Το ChromeLoader στοχεύει και το macOS

Οι χειριστές του ChromeLoader malware στοχεύουν επίσης συστήματα macOS, με σκοπό να παραβιάσουν τόσο τον Chrome όσο και τον Safari browser της Apple. Η αλυσίδα μόλυνσης στο macOS είναι παρόμοια, αλλά αντί για ISO, οι φορείς απειλών χρησιμοποιούν αρχεία DMG (Apple Disk Image), καθώς είναι μια πιο κοινή μορφή στο λειτουργικό σύστημα της Apple.

Δείτε επίσης: Mozilla: Επιδιορθώνει zero-days που αξιοποιήθηκαν στο Pwn2Own

Επιπλέον, αντί για το installer executable, η παραλλαγή macOS χρησιμοποιεί ένα installer bash script που κατεβάζει και αποσυμπιέζει την επέκταση ChromeLoader στον κατάλογο “private/var/tmp”.

malware browser

Για να διατηρήσει το persistence, η παραλλαγή macOS του ChromeLoader malware θα προσαρτήσει ένα preference (`plist`) file στον κατάλογο `/Library/LaunchAgents“, εξηγεί η αναφορά της Red Canary.

Αυτό διασφαλίζει ότι κάθε φορά που ένας χρήστης συνδέεται σε ένα graphical session, το Bash script του ChromeLoader μπορεί να εκτελείται συνεχώς“.

Για περισσότερες πληροφορίες σχετικά με το ChromeLoader malware και τη λειτουργία του, δείτε την έκθεση της Red Canary.

Πηγή: www.bleepingcomputer.com

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS