Esse mês, identificou-se um aumento na detecção do malware ChromeLoader. Após um volume relativamente estável desde o início do ano, esse aumento significa há uma ameaça generalizada. Essa nova onda de ataques do malware ChromeLoader amaeaça navegadores no mundo inteiro.
O malware ChromeLoader
O ChromeLoader é um sequestrador de navegador que pode modificar as configurações do navegador da vítima para mostrar resultados de pesquisa que promovem software indesejado, brindes e pesquisas falsos, jogos para adultos e sites de namoro.
Os operadores do malware recebem ganhos financeiros por meio de um sistema de afiliação de marketing ao redirecionar o tráfego do usuário para sites de publicidade. Existem muitos sequestradores desse tipo, mas o ChromeLoader se destaca por sua persistência, volume e rota de infecção, que envolve o uso agressivo do PowerShell.
Abusando do PowerShell
De acordo com pesquisadores da Red Canary, que acompanham a atividade do ChromeLoader desde fevereiro deste ano, os operadores do sequestrador usam um arquivo ISO malicioso para infectar suas vítimas. Essa ISO se disfarça como um executável crackeado para um jogo ou software comercial, então as vítimas provavelmente o baixam de sites de torrent ou maliciosos.
Além disso, os pesquisadores também notaram postagens no Twitter promovendo jogos Android crackeados e oferecendo códigos QR que levam a sites de hospedagem de malware.
Quando uma pessoa clica duas vezes no arquivo ISO no Windows 10 ou posterior, o arquivo ISO será montado como uma unidade de CD-ROM virtual. Este arquivo ISO contém um executável que finge ser um crack de jogo ou keygen, usando nomes como “CS_Installer.exe”. Por fim, o ChromeLoader executa e decodifica um comando do PowerShell que busca um arquivo de um recurso remoto e o carrega como uma extensão do Google Chrome.
Feito isso, o PowerShell removerá a tarefa agendada, deixando o Chrome infectado com uma extensão injetada silenciosamente que sequestra o navegador e manipula os resultados do mecanismo de pesquisa.
Os operadores do ChromeLoader também têm como alvo os sistemas macOS, procurando manipular os navegadores Chrome e Safari da Apple. A cadeia de infecção no macOS é semelhante, mas em vez de ISO, os agentes de ameaças usam arquivos DMG (Apple Disk Image), um formato mais comum nesse sistema operacional.
Além disso, em vez do executável do instalador, a variante do macOS usa um script bash do instalador que baixa e descompacta a extensão ChromeLoader no diretório “private/var/tmp”. O sequestrador tem aumentado sua atividade. Portanto, precisamos ficar ainda mais atentos.
Via: BleepingComputer