La distribuzione del malware ChromeLoader (si apre in una nuova scheda) è aumentata negli ultimi mesi, trasformandolo da un fastidio relativo in una minaccia a sé stante.
I ricercatori di Red Canary hanno monitorato il malware negli ultimi cinque mesi e affermano che la minaccia è aumentata in modo significativo.
Secondo la ricerca, gli aggressori prendono di mira sia utenti Windows che macOS, distribuendo il malware tramite file torrent che si spacciano per crack di software e giochi.
Usano anche siti di social network, come Twitter, per promuovere collegamenti torrent, condividendo codici QR che portano a siti che ospitano malware.
Malware ChromeLoader
L'obiettivo è che le vittime scarichino i file da sole. Per gli scopi di Windows, i file vengono forniti in un file .ISO che, se montato con un'unità CD-ROM virtuale, visualizza un file esecutivo camuffato da crack o keygen. I ricercatori affermano che il suo nome file più probabile è "CS_Installer.exe".
Una volta che la vittima esegue il file, esegue e decodifica un comando di PowerShell che estrae un file dal server e lo carica come estensione del browser Google Chrome (si apre in una nuova scheda). Successivamente, PowerShell interrompe l'attività pianificata, senza lasciare traccia della sua presenza.
La metodologia per macOS è leggermente diversa; invece di un ISO, gli aggressori utilizzano i file DMG, che sono più comuni sulla piattaforma. Sostituisce anche l'eseguibile del programma di installazione con uno script bash del programma di installazione che scarica e decomprime l'estensione in "private/var/tmp".
ChromeLoader è descritto come un browser hijacker in grado di modificare le impostazioni del browser sull'endpoint di destinazione (si apre in una nuova scheda), consentendogli di visualizzare i risultati di ricerca modificati. Visualizzando omaggi falsi, siti di incontri o software di terze parti indesiderato, gli attori delle minacce guadagnano commissioni sui programmi di affiliazione.
Ciò che distingue ChromeLoader in un mare di browser hijacker simili è la sua persistenza, volume e percorso di infezione, hanno affermato i ricercatori.