Nel corso di questo mese, è stata registrato un considerevole aumento della diffusione del malware ChromeLoader, un browser hijacker pervasivo e persistente che modifica le impostazioni del browser delle sue vittime e reindirizza il traffico degli utenti a siti Web pubblicitari che promuovono software indesiderato, omaggi e sondaggi falsi, scam e siti e piattaforme di dating.
Gli operatori di ChromeLoader guadagnano attraverso sistemi di affiliazione di marketing, reindirizzando il traffico degli utenti verso questi siti e servizi pubblicitari.
Questo malware è una minaccia relativamente “benigna” che dirotta le query di ricerca degli utenti e reindirizza il traffico a un sito pubblicitario. Tuttavia, ChromeLoader utilizza una tecnica che raramente è stata osservata e che spesso non viene rilevata da altri strumenti di sicurezza: sfrutta PowerShell per iniettarsi nel browser.
ChromeLoader viene introdotto tramite un file ISO che induce gli utenti a eseguirlo fingendosi un videogioco crackato o un film o un programma TV piratato per poi manifestarsi come un’estensione del browser. Sembra diffondersi attraverso siti pay-per-install e piattaforme di social media come Twitter.
Una volta scaricato ed eseguito, il file .ISO viene estratto e montato come unità sul computer della vittima. All’interno di questa ISO è presente un eseguibile utilizzato per installare ChromeLoader, insieme a quello che sembra essere un wrapper .NET per l’Utilità di pianificazione di Windows. Quando una persona fa doppio clic sul file ISO in Windows 10 o versioni successive, il file ISO verrà montato come unità CD-ROM virtuale. Il file ISO contiene un eseguibile che finge di essere un crack di un gioco o un keygen. Infine, ChromeLoader esegue e decodifica un comando PowerShell che recupera un archivio da una risorsa remota e lo carica come estensione di Google Chrome.
Gli operatori di ChromeLoader prendono di mira anche i sistemi macOS, cercando di manipolare sia Chrome che i browser Web Safari di Apple utilizzando però (anziché file ISO) file DMG (Apple Disk Image), un formato più comune su quel sistema operativo, oltre a uno script bash al posto dell’eseguibile del programma di installazione.
I ricercatori di Red Canary, che seguono l’attività di ChromeLoader da febbraio di quest’anno, spiegano che se il malware viene applicato a una minaccia a più alto impatto, come una raccolta di credenziali o uno spyware, questo comportamento di PowerShell potrebbe consentire al malware stesso di prendere piede nella fase iniziale e passare inosservato prima di eseguire attività più dannose, come l’esfiltrazione di dati dalle sessioni del browser di un utente.
https://redcanary.com/blog/chromeloader/