ChromeLoader
La aplicación ChromeLoader ha sido clasificada como un secuestrador de navegador. Como tal, su objetivo es tomar el control de varias configuraciones importantes del navegador web para generar tráfico artificial hacia páginas promocionadas o entregar anuncios no deseados y no confiables al sistema. Los anuncios asociados con secuestradores de navegador, adware u otros PUP (programas potencialmente no deseados) a menudo promueven productos de software intrusivos, sitios web falsos, obsequios falsos, portales de phishing, juegos para adultos sospechosos o sitios orientados a adultos.
Si bien ChromeLoader posee todas estas capacidades típicas de secuestrador de navegador, también está equipado con algunas características destacadas. Los detalles sobre la aplicación fueron revelados al público en un informe de los investigadores de ciberseguridad de Red Canary. Según sus hallazgos, ChromeLoader muestra un uso extensivo de PowerShell.
Vector de infección
La aplicación se propaga como un archivo ISO corrupto. Este archivo ISO está disfrazado como un ejecutable descifrado para videojuegos populares o software comercial. Es muy probable que los usuarios que visitan sitios que difunden versiones descifradas de dichos productos probablemente hayan descargado ellos mismos el archivo de ChromeLoader.
Cuando se ejecuta, el archivo ISO se montará en el sistema como una unidad de CD-ROM virtual. Para mantener la ilusión de que pertenece al software o juego descifrado esperado, el archivo contiene un ejecutable con un nombre similar a 'CS_Installer.exe'. El siguiente paso en la cadena de ataque consiste en ejecutar un comando de PowerShell responsable de obtener un archivo específico desde una ubicación remota. Luego, el archivo se cargará en el sistema como una extensión de Google Chrome. El paso final usa PowerShell nuevamente, pero esta vez para eliminar una tarea de programación creada anteriormente.
Los dispositivos Mac pueden verse afectados
Los operadores de ChromeLoader también agregaron la capacidad de comprometer los navegadores Safari de Apple. El flujo general de la infección sigue siendo el mismo, pero el archivo ISO inicial se ha sustituido por el tipo de archivo DMG (Imagen de disco de Apple), más común en los dispositivos con sistema operativo. La variante de macOS también utiliza un script bash para buscar y descomprimir la extensión ChromeLoader. El secuestrador del navegador se colocará en el directorio 'private/var/tmp'. Para asegurar su persistencia en Mac, ChromeLoader agrega un archivo 'plist' a '/Library/LaunchAgents.'
