ChromeLoader kötü amaçlı yazılımının dağıtımı (yeni sekmede açılır) son aylarda ani bir artış göstererek göreceli bir sıkıntıyı tam bir tehdide dönüştürdü.
Red Canary’den araştırmacılar, son beş aydır kötü amaçlı yazılımı izliyor ve tehdidin önemli ölçüde arttığını iddia ediyor.
Araştırmaya göre, saldırganlar hem Windows hem de macOS kullanıcılarını hedef alıyor ve kötü amaçlı yazılımı, yazılım ve oyunlar için crack gibi görünen torrent dosyaları aracılığıyla dağıtıyor.
Torrent bağlantılarını tanıtmak için Twitter gibi sosyal medya sitelerini de kullanıyorlar ve kötü amaçlı yazılımı barındıran sitelere giden QR kodlarını paylaşıyorlar.
ChromeLoader kötü amaçlı yazılımı
Amaç, kurbanların dosyaları kendilerinin indirmesini sağlamaktır. Windows hedefleri için dosyalar, sanal bir CD-ROM sürücüsü ile monte edildiğinde, bir crack veya keygen görünümünde bir yönetici dosyası görüntüleyen bir .ISO arşivinde gelir. Araştırmacılar, en olası dosya adının “CS_Installer.exe” olduğunu söylüyor.
Kurban dosyayı çalıştırdığında, sunucudan bir arşiv çeken ve onu Google Chrome tarayıcısı için bir uzantı olarak yükleyen bir PowerShell komutunu yürütür ve kodunu çözer. (yeni sekmede açılır). Bundan sonra PowerShell, zamanlanmış görevi kaldırır ve varlığından hiçbir iz bırakmaz.
macOS için metodoloji biraz farklıdır; Saldırganlar ISO yerine platformda daha yaygın olan DMG dosyalarını kullanır. Ayrıca, yürütülebilir yükleyiciyi, uzantıyı “private/var/tmp” olarak indiren ve sıkıştırmasını açan bir yükleyici bash betiğiyle değiştirir.
ChromeLoader, hedef uç noktada tarayıcı ayarlarını değiştirebilen bir tarayıcı korsanı olarak tanımlanır. (yeni sekmede açılır), değiştirilmiş arama sonuçlarını göstermesini sağlar. Tehdit aktörleri, sahte eşantiyonlar, tanışma siteleri veya istenmeyen üçüncü taraf yazılımları göstererek, bağlı kuruluş programlarında komisyon kazanır.
Araştırmacılar, ChromeLoader’ı benzer tarayıcı korsanları denizinde öne çıkaran şeyin kalıcılığı, hacmi ve enfeksiyon yolu olduğunu söyledi.