Μια νέα καμπάνια ChromeLoader βρίσκεται σε εξέλιξη, μολύνοντας τους επισκέπτες των warez και ιστότοπων για πειρατικές ταινίες με μια νέα παραλλαγή του search hijacker και της επέκτασης adware browser με την ονομασία “Shampoo”.
Αυτή η ανακάλυψη της νέας εκστρατείας προέρχεται από την ομάδα έρευνας απειλών της HP, Wolf Security, η οποία αναφέρει ότι η επιχείρηση βρίσκεται σε εξέλιξη από τον Μάρτιο του 2023.
ChromeLoader ιστορία
Το ChromeLoader είναι ένας browser hijacker που εγκαθιστά με τη βία επεκτάσεις προγράμματος περιήγησης που ανακατευθύνουν τα αποτελέσματα αναζήτησης, προωθώντας ανεπιθύμητο software, ψεύτικα giveaways, έρευνες, παιχνίδια για ενήλικες, ιστότοπους γνωριμιών και άλλα άσχετα αποτελέσματα.
Πριν από περίπου ένα χρόνο, οι αναλυτές της Red Canary ανέφεραν μια ξαφνική έξαρση της διανομής του ChromeLoader που είχε ξεκινήσει τον Φεβρουάριο του 2022, περιλαμβάνοντας πλέον και το macOS στο πεδίο στόχευσης μαζί με τα Windows.
Τον Σεπτέμβριο, η VMware και η Microsoft προειδοποίησαν για μια άλλη μαζική εκστρατεία ChromeLoader με την πειραματική δυνατότητα να κάνει drop πρόσθετο κακόβουλο λογισμικό, συμπεριλαμβανομένου του ransomware.
Πιο πρόσφατα, τον Φεβρουάριο του 2023, οι ερευνητές ασφαλείας της ASEC ανακάλυψαν μια εκστρατεία στην οποία το κακόβουλο λογισμικό ChromeLoader διανεμήθηκε σε αρχεία VHD με ονόματα δημοφιλών βιντεοπαιχνιδιών.
Η νεότερη εκστρατεία
Οι αναλυτές της HP αναφέρουν ότι στην εκστρατεία που ξεκίνησε τον Μάρτιο του 2023, ο ChromeLoader διανέμεται μέσω ενός δικτύου κακόβουλων ιστότοπων που υπόσχονται δωρεάν λήψεις μουσικής, ταινιών ή βιντεοπαιχνιδιών που προστατεύονται από πνευματικά δικαιώματα.
Αντί να κατεβάζουν νόμιμα αρχεία πολυμέσων ή προγράμματα εγκατάστασης λογισμικού, τα θύματα κατεβάζουν VBScripts που εκτελούν PowerShell scripts, τα οποία δημιουργούν μια προγραμματισμένη εργασία με πρόθεμα “chrome_” για παραμονή.
Αυτό το task ενεργοποιεί μια σειρά από script που πραγματοποιούν λήψη μιας αποθήκευσης ενός νέου PowerShell script στο μητρώο του host ως “HKCU:\Software\Mirage Utilities\” και ανακτούν επίσης την κακόβουλη επέκταση Chrome, Shampoo.
Το Shampoo είναι μια παραλλαγή του ChromeLoader, ικανή να εισάγει διαφημίσεις σε ιστότοπους που επισκέπτεται το θύμα και να εκτελεί ανακατευθύνσεις ερωτημάτων αναζήτησης.
Σε ένα δείγμα που αναλύθηκε από το BleepingComputer, οι αναζητήσεις από τη γραμμή διευθύνσεων του προγράμματος περιήγησης ή το Google ανακατευθύνονται πρώτα σε έναν ιστότοπο στη διεύθυνση ythingamgladt[.]com και μετά στα αποτελέσματα αναζήτησης του Bing.
Μόλις εγκατασταθεί η κακόβουλη επέκταση, εμποδίζει το θύμα να αποκτήσει πρόσβαση στην οθόνη επεκτάσεων του Chrome. Αντ’ αυτού, οι χρήστες ανακατευθύνονται στην οθόνη ρυθμίσεων του Chrome όταν επιχειρούν να το κάνουν.
Πιστεύεται ότι η λειτουργία του adware έχει οικονομικά κίνητρα, με στόχο τη δημιουργία εσόδων από τις ανακατευθύνσεις αναζήτησης και τις διαφημίσεις.
Φυσικά, δεν είναι δύσκολο για τα θύματα να παρατηρήσουν αυτά τα redirect, καθώς δεν λαμβάνουν αυτό που αναζητούν στην Google. Ωστόσο, η αφαίρεση του κακόβουλου λογισμικού είναι περίπλοκη.
Ως εκ τούτου, εάν το θύμα επανεκκινήσει το σύστημα, το κακόβουλο λογισμικό Chrome θα απενεργοποιηθεί προσωρινά, ωστόσο, θα επανεγκατασταθεί γρήγορα.
Για να απαλλαγούν από το ChromeLoader Shampoo, η HP Wolf Security αναφέρει ότι οι χρήστες μπορούν να εκτελέσουν τα ακόλουθα βήματα:
- Καταργήστε τυχόν προγραμματισμένες εργασίες με πρόθεμα “chrome_”. Οι νόμιμες προγραμματισμένες εργασίες του Chrome συνήθως έχουν το πρόθεμα “Google”.
- Διαγράψτε το registry key “HKCU\Software\Mirage Utilities\”.
- Στη συνέχεια επανεκκινήστε τον υπολογιστή.
Το BleepingComputer βρήκε επίσης τα σενάρια PowerShell που εξάγουν την κακόβουλη επέκταση στο φάκελο ‘C:\Users\<user>\appdata\local\chrome_test’, η οποία θα πρέπει να διαγραφεί εάν υπάρχει.
Η HP προειδοποιεί ότι αυτά τα βήματα αφαίρεσης πρέπει να ολοκληρωθούν γρήγορα, προτού το επαναλαμβανόμενο script επανεγκαταστήσει το κακόβουλο λογισμικό.
Μια απλή μέθοδος για να διαπιστώσετε αν μια παραλλαγή του ChromeLoader εκτελείται στο πρόγραμμα περιήγησης ιστού σας είναι να ελέγξετε αν ο Chrome εκτελείται με το όρισμα “-load-extension”. Μπορείτε να χρησιμοποιήσετε εργαλεία, όπως το Process Explorer, για να εξετάσετε τις ιδιότητες μιας διεργασίας και να δείτε τα ορίσματα της γραμμής εντολών της.
Πηγή πληροφοριών: bleepingcomputer.com
