Uma nova onda do Malware ChromeLoader ameaça navegadores em todo mundo, pois modifica as configurações do navegador da vítima.
O malware ChromeLoader está vendo um aumento nas detecções este mês, após um volume relativamente estável desde o início do ano, fazendo com que o sequestro do navegador se torne uma ameaça generalizada.
Malware ChromeLoader ameaça navegadores em todo mundo
O ChromeLoader é um sequestrador de navegador que pode modificar as configurações do navegador da vítima para mostrar resultados de pesquisa que promovem software indesejado, brindes e pesquisas falsos, jogos para adultos e sites de namoro.
Os operadores do malware recebem ganhos financeiros por meio de um sistema de afiliação de marketing ao redirecionar o tráfego do usuário para sites de publicidade.
Existem muitos sequestradores desse tipo, mas o ChromeLoader se destaca por sua persistência, volume e rota de infecção, que envolve o uso agressivo do PowerShell.
De acordo com pesquisadores da Red Canary, que acompanham a atividade do ChromeLoader desde fevereiro deste ano, os operadores do sequestrador usam um arquivo ISO malicioso para infectar suas vítimas.
O ISO se disfarça como um executável crackeado para um jogo ou software comercial, então as vítimas provavelmente o baixam de sites de torrent ou maliciosos.
Os pesquisadores também notaram postagens no Twitter promovendo jogos Android crackeados e oferecendo códigos QR que levam a sites de hospedagem de malware.
Quando uma pessoa clica duas vezes no arquivo ISO no Windows 10 ou posterior, o arquivo ISO será montado como uma unidade de CD-ROM virtual. Este arquivo ISO contém um executável que finge ser um crack de jogo ou keygen, usando nomes como “CS_Installer.exe”.
Por fim, o ChromeLoader executa e decodifica um comando do PowerShell que busca um arquivo de um recurso remoto e o carrega como uma extensão do Google Chrome.
Feito isso, o PowerShell removerá a tarefa agendada, deixando o Chrome infectado com uma extensão injetada silenciosamente que sequestra o navegador e manipula os resultados do mecanismo de pesquisa.
Os operadores do ChromeLoader também têm como alvo os sistemas macOS, procurando manipular os navegadores Chrome e Safari da Apple.
A cadeia de infecção no macOS é semelhante, mas em vez de ISO, os agentes de ameaças usam arquivos DMG (Apple Disk Image), um formato mais comum nesse sistema operacional.
Além disso, em vez do executável do instalador, a variante do macOS usa um script bash do instalador que baixa e descompacta a extensão ChromeLoader no diretório “private/var/tmp”.
“Para manter a persistência, a variação do ChromeLoader para macOS anexará um arquivo de preferência (`plist`) ao diretório `/Library/LaunchAgents`”, explica o relatório da Red Canary.
“Isso garante que toda vez que um usuário fizer login em uma sessão gráfica, o script Bash do ChromeLoader possa ser executado continuamente.”
Para obter instruções sobre como verificar quais extensões são executadas em seu navegador da Web e como gerenciá-las, restringi-las ou removê-las, confira este guia para Chrome ou este para Safari.