Sebbene inizialmente si pensasse a un hijacker del browser in grado di rubare le credenziali, i ricercatori hanno scoperto che ChromeLoader, nelle sue varianti più recenti, è in grado di fornire altro malware dannoso e di essere utilizzato per altri scopi nefasti.
In un post sul blog di lunedì, i ricercatori di VMware hanno riferito che già alla fine di agosto sono state viste ZipBombs cadere sui sistemi infetti. Una ZipBomb viene rilasciata insieme all’infezione iniziale nell’archivio che l’utente scarica e deve fare doppio clic affinché la ZipBomb venga eseguita. Secondo i ricercatori, una volta eseguito, il malware distrugge il sistema dell’utente sovraccaricandolo di dati.
I ricercatori di VMware hanno osservato per la prima volta le varianti di ChromeLoader per Windows nel gennaio 2022 e la versione per macOS nel marzo 2022. I ricercatori hanno dichiarato che esistono alcune varianti note di ChromeLoader, tra cui ChromeBack e Choziosi Loader. I ricercatori dell’Unità 42 hanno trovato prove dell’utilizzo da parte di The Real First Windows Variant dello strumento AutoHotKey (AHK) per compilare un eseguibile dannoso e rilasciare la versione 1.0 del malware.
Sebbene questo tipo di malware venga creato con l’intento di fornire adware all’utente, i ricercatori hanno anche sottolineato che ChromeLoader, un hijacker del browser che si manifesta come un’estensione del browser, aumenta la superficie di attacco di un sistema infetto, che può eventualmente portare ad attacchi molto più devastanti, come i ransomware.
Le estensioni del browser sono un metodo di attacco collaudato, poiché la compromissione del browser dell’utente può essere sfruttata dagli aggressori in diversi modi, come dimostrano le capacità di ChromeLoader, ha dichiarato Ryan Kennedy, consulente per la sicurezza informatica di nVisium.
Kennedy ha dichiarato che la campagna di malware è ancora in corso e continua a rappresentare una minaccia che va oltre l’iniezione di annunci nel browser dell’utente. Gli aggressori possono sfruttarla per rubare le credenziali, ottenere la cronologia del browser degli utenti e potenzialmente mettere fuori uso il loro sistema.
“I team che si occupano di sicurezza possono proteggere i propri utenti controllando il software che gli utenti scaricano e gestendo i browser degli utenti”, ha dichiarato Kennedy. “L’ideale sarebbe impedire agli utenti di scaricare estensioni del browser non affidabili, soprattutto quelle che richiedono l’accesso alla cronologia di navigazione degli utenti o ad altri dati sensibili nel browser”.
Timothy Morris, technology strategist di Tanium, ha aggiunto che i browser sono diventati “endpoint” a tutti gli effetti. Per questo motivo, Morris ha affermato che le estensioni del browser sono popolari tra gli sviluppatori di malware.
“Gli utenti dovrebbero verificare quali estensioni sono presenti e rimuovere quelle non riconosciute o non utilizzate”, ha dichiarato Morris. “Utilizzate solo quelle assolutamente necessarie e affidabili. Come per tutti gli endpoint, assicuratevi che i controlli di sicurezza siano presenti e funzionanti. Mantenete i browser aggiornati con patch il più rapidamente possibile, una volta disponibili”.
