O malware ChromeLoader se espalha pelo mundo, atacando Windows e Mac

Este mês, o malware ChromeLoader está crescendo em número depois de causar estragos em um ritmo constante desde o começo do ano. Isso torna o sequestro de navegador uma ameaça generalizada.

ChromeLoader é um tipo de sequestrador de navegador que pode modificar as configurações do navegador da vítima para exibir resultados de pesquisa que anunciam junkware, executam pesquisas automáticas em sites de pesquisas falsas, brindes falsos e anunciam jogos adultos e sites de namoro.

Os responsáveis ​​por esse malware receberão benefícios financeiros por meio de um sistema de marketing de afiliados.

Existem muitos malwares desse tipo, mas o ChromeLoader se destaca por sua persistência, escala e caminho de infecção graças ao seu abuso agressivo do PowerShell .

Abuso do PowerShell

De acordo com pesquisadores da Red Canary, que monitoram a atividade do ChromeLoader desde fevereiro, os operadores usam um arquivo ISO malicioso para infectar as vítimas com malware.

Normalmente, arquivos ISO maliciosos são disfarçados como softwares ou jogos crackeados para as vítimas baixarem e ativarem por conta própria. Há até anúncios no Twitter de jogos crackeados para Android com códigos QR que levam diretamente para páginas de download de malware.

Quando o usuário clica duas vezes no arquivo ISO malicioso, ele é montado como uma unidade de CD-ROM virtual. Ele conterá arquivos executáveis ​​com a extensão .exe. Quando executado, ele acionará o ChromeLoader e decodificará um comando do PowerShell com a capacidade de buscar um arquivo de cache de recurso remoto e carregá-lo como uma extensão do Google Chrome .

Uma vez feito isso, o PowerShell excluirá as tarefas agendadas que infectaram o Chrome com uma extensão que pode se infiltrar silenciosamente no navegador e manipular os resultados da pesquisa e executar outras ações.

O macOS também é vulnerável

As pessoas por trás do ChromeLoader também têm como alvo computadores com macOS. Eles querem manipular o Chrome e o Safari em execução no macOS.

A cadeia de infecção no macOS é semelhante à do Windows, mas em vez de usar ISOs, eles usam arquivos DMG (Apple Disk Image), um formato mais comum no sistema operacional da Apple.

Além disso, em vez de executar o instalador, a variante ChromeLoader no macOS usa o script bash do instalador para baixar e descompactar a extensão ChromeLoader no diretório "private/var/tmp".

Para permanecer presente o máximo de tempo possível, o ChromeLoader adicionará um arquivo de preferências ('plist') à pasta '/Library/LaunchAgents'. Isso garante que sempre que um usuário fizer login em uma sessão gráfica, o script ChromeLoader Bash possa ser executado continuamente.

Para verificar e excluir extensões, siga estas instruções:

• Verifique e exclua extensões no Google Chrome, Safari, Firefox

Além disso, você também pode verificar outras configurações do navegador para ver se há algo incomum. Se você encontrar alguma configuração estranha, restaure o modo original para resolver o problema.