W ostatnich miesiącach wzrosła dystrybucja złośliwego oprogramowania ChromeLoader (otwiera się w nowej karcie), przez co przestało ono być względną uciążliwością w zagrożenie samo w sobie.
Badacze z Red Canary śledzili szkodliwe oprogramowanie przez ostatnie pięć miesięcy i twierdzą, że zagrożenie znacznie wzrosło.
Według badania napastnicy atakują zarówno użytkowników systemu Windows, jak i macOS, i rozpowszechniają szkodliwe oprogramowanie za pośrednictwem plików torrent udających cracki do oprogramowania i gier.
Wykorzystują także serwisy społecznościowe, takie jak Twitter, do promowania linków do torrentów, udostępniając kody QR prowadzące do witryn hostujących złośliwe oprogramowanie.
Szkodliwy program ChromeLoader
Celem jest, aby ofiary same pobrały pliki. W przypadku systemu Windows pliki są dostarczane w pliku .ISO, który po zamontowaniu z wirtualnym napędem CD-ROM wyświetla plik wykonawczy udający crack lub generator klucza. Naukowcy twierdzą, że najbardziej prawdopodobna nazwa pliku to „CS_Installer.exe”.
Gdy ofiara uruchomi plik, wykonuje i dekoduje polecenie PowerShell, które wyodrębnia plik z serwera i ładuje go jako rozszerzenie dla przeglądarki Google Chrome (otwiera się w nowej karcie). Następnie PowerShell usuwa zaplanowane zadanie i nie pozostawia śladów jego obecności.
Metodologia dla macOS jest nieco inna; zamiast ISO atakujący używają plików DMG, które są bardziej powszechne na platformie. Zastępuje również plik wykonywalny instalatora skryptem bash instalatora, który pobiera i rozpakowuje rozszerzenie do „private/var/tmp”.
ChromeLoader jest opisywany jako porywacz przeglądarki, który może modyfikować ustawienia przeglądarki na docelowym punkcie końcowym (otwiera się w nowej karcie), umożliwiając mu wyświetlanie zmodyfikowanych wyników wyszukiwania. Wyświetlając fałszywe prezenty, strony randkowe lub niechciane oprogramowanie stron trzecich, cyberprzestępcy zarabiają prowizje w programach partnerskich.
Naukowcy stwierdzili, że tym, co wyróżnia ChromeLoader na tle morza podobnych porywaczy przeglądarki, jest jego trwałość, objętość i droga infekcji.