ChromeLoader

Die ChromeLoader-App wurde als Browser-Hijacker klassifiziert. Daher ist es sein Ziel, die Kontrolle über mehrere wichtige Webbrowser-Einstellungen zu übernehmen, um künstlichen Datenverkehr zu beworbenen Seiten zu generieren oder unerwünschte und nicht vertrauenswürdige Werbung an das System zu liefern. Werbung im Zusammenhang mit Browser-Hijackern, Adware oder anderen PUPs (Potentially Unwanted Programs) fördert oft aufdringliche Softwareprodukte, Hoax-Websites, gefälschte Werbegeschenke, Phishing-Portale, verdächtige Spiele für Erwachsene oder Websites für Erwachsene.

Während ChromeLoader alle diese typischen Browser-Hijacker-Funktionen besitzt, ist er auch mit einigen herausragenden Funktionen ausgestattet. Details über die Anwendung wurden der Öffentlichkeit in einem Bericht der Cybersicherheitsforscher von Red Canary bekannt gegeben. Ihren Erkenntnissen zufolge zeigt ChromeLoader eine umfangreiche Nutzung von PowerShell.

Infektionsvektor

Die Anwendung wird als beschädigtes ISO-Archiv verbreitet. Diese ISO-Datei ist als gecrackte ausführbare Datei für beliebte Videospiele oder kommerzielle Software getarnt. Es ist sehr wahrscheinlich, dass Benutzer, die Websites besuchen, die gecrackte Versionen solcher Produkte verbreiten, wahrscheinlich selbst die ChromeLoader-Datei heruntergeladen haben.

Bei der Ausführung wird die ISO-Datei als virtuelles CD-ROM-Laufwerk auf dem System bereitgestellt. Um die Illusion aufrechtzuerhalten, dass es sich um die erwartete gecrackte Software oder das Spiel handelt, enthält die Datei eine ausführbare Datei mit einem ähnlichen Namen wie „CS_Installer.exe“. Der nächste Schritt in der Angriffskette besteht darin, einen PowerShell-Befehl auszuführen, der für das Abrufen eines bestimmten Archivs von einem entfernten Standort verantwortlich ist. Das Archiv wird dann als Google Chrome-Erweiterung auf das System geladen. Der letzte Schritt verwendet wieder PowerShell, aber dieses Mal, um eine zuvor erstellte geplante Aufgabe zu entfernen.

Mac-Geräte können betroffen sein

Die Betreiber von ChromeLoader haben außerdem die Möglichkeit hinzugefügt, Apples Safari-Browser zu kompromittieren. Der allgemeine Verlauf der Infektion bleibt derselbe, aber die anfängliche ISO-Datei wurde durch den auf Betriebssystemgeräten gebräuchlicheren Dateityp DMG (Apple Disk Image) ersetzt. Die macOS-Variante verwendet auch ein Bash-Skript, um die ChromeLoader-Erweiterung abzurufen und zu dekomprimieren. Der Browser-Hijacker wird im Verzeichnis „private/var/tmp“ abgelegt. Um die Persistenz auf dem Mac sicherzustellen, fügt ChromeLoader eine „plist“-Datei zu „/Library/LaunchAgents“ hinzu.