Un picco improvviso e inaspettato di campagne di tipo hijacker web sarebbe stato rilevato dal team di sicurezza Red Canary, veicolanti ChromeLoader, un malware pervasivo e persistente che può modificare le impostazioni del browser e reindirizzare le vittime verso siti pubblicitari.
“Stiamo effettuando ricerche su questa minaccia dall’inizio di febbraio. Negli ultimi giorni abbiamo osservato quella che sembra essere una ripresa dell’attività di ChromeLoader. Di conseguenza, questa ricerca si basa su un’analisi delle minacce che copre quasi cinque mesi. Detto questo, la guida al rilevamento in questo rapporto fornisce una difesa approfondita contro ChromeLoader e un’ampia gamma di altre minacce”, annota Aedan Russell di Red Canary.
Indice degli argomenti
ChromeLoader: di cosa si tratta
ChromeLoader sarebbe solo apparentemente una minaccia innocua che dirotta le query di ricerca degli utenti e reindirizza il traffico verso un sito pubblicitario.
Infatti, poiché utilizza PowerShell per iniettarsi nei browser e aggiungere un’estensione dannosa, potrebbe diventare una minaccia a più alto impatto se impiegato come infostealer o spyware per esfiltrare dati dalle sessioni del browser di un utente.
Distribuito tramite siti Web pay-per-install e pubblicizzato anche con post fraudolenti sui social media, una volta installato ChromeLoader modifica le impostazioni del browser web per visualizzare risultati di ricerca che inducono a scaricare software indesiderato, visitare siti di incontri o partecipare a sondaggi falsi.
Secondo il rapporto, ChromeLoader si distinguerebbe dagli altri browser hijacker per la sua persistenza e l’abuso di PowerShell.
La catena d’infezione di ChromeLoader
Secondo il post sul blog di Red Canary, gli autori utilizzano un file di archivio ISO per insidiarsi nel sistema.
Quando eseguito (in sistemi Windows 10/11), il file ISO viene montato come un’unità CD-ROM virtuale. Sebbene sembri essere un keygen o un cracker dal nome CS_Installer.exe, l’eseguibile contenuto dentro l’ISO avvia la catena d’infezione.
L’esecuzione genera dapprima la persistenza tramite un’attività pianificata utilizzando il processo svchost.exe e l’API COM dell’utilità di pianificazione. Successivamente avvia e decodifica (Base64) un comando PowerShell per recuperare un archivio .zip da una risorsa remota e caricarlo sul sistema come estensione di Chrome, rimuovendo infine l’attività pianificata.
Anche macOS preso di mira
I ricercatori di Red Canary hanno identificato che gli sviluppatori di ChromeLoader starebbero prendendo di mira anche i sistemi macOS per manipolare il browser Web Safari oltre che Chrome.
La catena d’infezione sarebbe simile e utilizzerebbe in questo caso un file DMG (Apple Disk Image) per l’avvio di un uno script bash del programma di installazione che rilascia il payload.
Lo script d’installazione avvierebbe quindi il comando cURL per recuperare il file ZIP contenente l’estensione dannosa del browser decomprimendolo all’interno della directory “private/var/tmp”.
Per mantenere la persistenza, ChromeLoader aggiungerà un preference file (plist) alla directory “/Library/LaunchAgents” e una volta installato, svolgerà in tutto e per tutto la stessa attività della variante Windows.
Conclusioni
Nel loro rapporto pubblicato, gli esperti hanno incluso anche 4 analisi di rilevamento per questa minaccia con esempi powershell e bash.
Tutto allo scopo di puntare i riflettori sul fatto che nessun sistema operativo può ritenersi immune dalle infezioni malware.
