В этом месяце резко возросло число атак с использованием вредоносного ПО ChromeLoader, предупреждают специалисты из Red Canary.
ChromeLoader представляет собой перехватчик браузера, способный модифицировать настройки браузера жертвы, чтобы в результатах поиска отображались ресурсы с нежелательным ПО, мошенническими акциями и исследованиями, играми «для взрослых» и сайты знакомств. Его операторы получают прибыль путем переадресации пользовательского трафика на рекламные сайты.
От других перехватчиков подобного рода ChromeLoader отличается способностью сохранять постоянство на системе, масштабами атак и агрессивным использованием PowerShell.
Для заражения жертв вредонос использует вредоносный архивный файл ISO, замаскированный под взломанную игру или коммерческое ПО. То есть, жертвы сами загружают его с торрентов или вредоносных сайтов.
Когда пользователь два раза щелкнет на этот файл на компьютере под управлением Windows 10 или 11, он будет установлен в качестве виртуального CD-ROM. В файле содержится исполняемый файл CS_Installer.exe, выдаваемый за ключ активации игры/ПО.
В конечном итоге ChromeLoader выполняет и декодирует команду PowerShell, извлекающую архив с удаленного ресурса и загружающую его как расширение для Google Chrome. Далее PowerShell удаляет запланированную задачу, оставляя Chrome зараженным тайно внедренным расширением, манипулирующим результатами поиска.
ChromeLoader также атакует macOS и может подделывать результаты поиска как в Chrome, так и в Apple Safari, но вместо файла ISO используются файлы DMG (Apple Disk Image).
Источник: SecurityLab