Il malware ChromeLoader sta registrando un’impennata di rilevamenti questo mese, dopo un volume relativamente stabile dall’inizio dell’anno, facendo sì che il dirottamento del browser diventi una minaccia diffusa.
ChromeLoader è un browser hijacker che può modificare le impostazioni del browser web della vittima per mostrare risultati di ricerca che promuovono software indesiderati, falsi omaggi e sondaggi, giochi per adulti e siti di incontri.
Gli operatori del malware ottengono guadagni finanziari attraverso un sistema di affiliazione commerciale, reindirizzando il traffico degli utenti verso siti pubblicitari.
Esistono molti hijacker di questo tipo, ma ChromeLoader si distingue per la sua persistenza, il volume e il percorso di infezione, che prevede l’uso aggressivo di PowerShell.
Abuso di PowerShell
Secondo i ricercatori di Red Canary, che hanno seguito l’attività di ChromeLoader dal febbraio di quest’anno, gli operatori del dirottatore utilizzano un file di archivio ISO dannoso per infettare le loro vittime.
L’ISO si presenta come un eseguibile craccato di un gioco o di un software commerciale, per cui è probabile che le vittime lo scarichino da sole da siti torrent o maligni.
I ricercatori hanno anche notato post su Twitter che promuovono giochi Android craccati e offrono codici QR che portano a siti che ospitano malware.
Quando una persona fa doppio clic sul file ISO in Windows 10 o successivo, il file ISO viene montato come unità CD-ROM virtuale. Questo file ISO contiene un eseguibile che finge di essere un crack o un keygen del gioco, utilizzando nomi come “CS_Installer.exe“.
Infine, ChromeLoader esegue e decodifica un comando PowerShell che recupera un archivio da una risorsa remota e lo carica come estensione di Google Chrome.
Una volta fatto ciò, PowerShell rimuoverà l’attività pianificata lasciando Chrome infettato con un’estensione iniettata silenziosamente che dirotta il browser e manipola i risultati dei motori di ricerca.
Anche macOS è stato preso di mira
Gli operatori di ChromeLoader prendono di mira anche i sistemi macOS, cercando di manipolare sia Chrome che il browser web Safari di Apple.
La catena di infezione su macOS è simile, ma invece di ISO, gli attori della minaccia utilizzano file DMG (Apple Disk Image), un formato più comune su questo sistema operativo.
Inoltre, al posto dell’eseguibile di installazione, la variante macOS utilizza uno script bash di installazione che scarica e decomprime l’estensione ChromeLoader nella directory “private/var/tmp”.
“Per mantenere la persistenza, la variante macOS di ChromeLoader aggiunge un file di preferenze (plist) alla directory /Library/LaunchAgents“, spiega il rapporto di Red Canary.
“In questo modo, ogni volta che un utente accede a una sessione grafica, lo script Bash di ChromeLoader può essere continuamente eseguito“.
