Logo Zephyrnet

Trình duyệt ChromeLoader Hijacker cung cấp cửa ngõ cho các mối đe dọa lớn hơn

Ngày:

Các nhà nghiên cứu cảnh báo việc sử dụng PowerShell của kẻ quảng cáo độc hại có thể khiến nó vượt quá khả năng cơ bản để phát tán ransomware, spyware hoặc đánh cắp dữ liệu từ các phiên trình duyệt.

ChromeLoader có vẻ bề ngoài giống như một cái nhà máy kẻ xâm nhập trình duyệt chỉ chuyển hướng nạn nhân đến các trang web quảng cáo. Tuy nhiên, việc sử dụng PowerShell có thể gây ra rủi ro lớn hơn bằng cách dẫn đến hoạt động độc hại nâng cao và xa hơn, chẳng hạn như lan truyền ransomware hoặc spyware hoặc đánh cắp dữ liệu phiên trình duyệt.

Các nhà nghiên cứu đang cảnh báo về khả năng ChromeLoader — thứ đã chứng kiến ​​sự hồi sinh hoạt động gần đây — gây ra mối đe dọa phức tạp hơn những kẻ quảng cáo độc hại thông thường, theo hai bài đăng trên blog riêng biệt của Malwarebytes Labs và Red Canary.

ChromeLoader là một ứng dụng phổ biến và bền bỉ kẻ xâm nhập trình duyệt mà cuối cùng biểu hiện dưới dạng tiện ích mở rộng của trình duyệt, sửa đổi cài đặt Chrome của nạn nhân và chuyển hướng lưu lượng truy cập của người dùng đến các trang web quảng cáo. Các nhà nghiên cứu cho biết trên các máy Windows, nạn nhân bị nhiễm phần mềm độc hại thông qua các tệp ISO giả dạng một trò chơi điện tử bị bẻ khóa hoặc các bộ phim hoặc chương trình truyền hình vi phạm bản quyền.

Bản tin Người dùng nội bộ Infosec Tuy nhiên, ChromeLoader là nền tảng bất khả tri, có nghĩa là người dùng macOS cũng có nguy cơ bị lây nhiễm, theo một bài đăng trên blog từ Christopher Boyd, Trưởng nhóm phân tích phần mềm độc hại của Malwarebytes. Tuy nhiên, thay vì ẩn nấp trong các tệp ISO, những kẻ tấn công sử dụng tệp DMG (Apple Disk Image), một định dạng macOS phổ biến hơn, để ẩn ChromeLoader, ông nói.

Mặc dù chức năng cốt lõi của nó khá lành tính, nhưng ChromeLoader có một tính năng độc đáo là nó sử dụng PowerShell để đưa chính nó vào trình duyệt và thêm một tiện ích mở rộng độc hại vào đó— ”một kỹ thuật mà chúng tôi không thấy thường xuyên (và một kỹ thuật thường không bị phát hiện bởi các công cụ bảo mật khác), ”Aedan Russell từ nhóm Kỹ thuật phát hiện của Red Canary cảnh báo trong một bài đăng blog.

“Nếu được áp dụng cho một mối đe dọa có tác động cao hơn — chẳng hạn như một bộ thu thập thông tin xác thực hoặc phần mềm gián điệp — hành vi PowerShell này có thể giúp phần mềm độc hại có được chỗ đứng ban đầu và không bị phát hiện trước khi thực hiện hoạt động độc hại công khai hơn, chẳng hạn như lấy cắp dữ liệu từ các phiên trình duyệt của người dùng,” ông viết .

Quá trình lây nhiễm

Các nhà nghiên cứu cho biết ChromeLoader ẩn trong các tệp không có thật được quảng cáo trên Twitter và thông qua các dịch vụ khác hoặc được tìm thấy trên các trang web giả mạo và torrent cung cấp các trò chơi video vi phạm bản quyền và các phương tiện khác để tải xuống miễn phí.

Boyd giải thích: “Một số bài đăng trên mạng xã hội quảng bá các trò chơi Android được cho là đã bẻ khóa thông qua mã QR.

Ông viết: Nhấp đúp vào tệp ISO sẽ gắn nó dưới dạng CD-ROM ảo, với tệp thực thi của ISO là nội dung mà nạn nhân đang tìm kiếm.

“Trong ISO này là tệp thực thi được sử dụng để cài đặt ChromeLoader, cùng với tệp có vẻ như là trình bao bọc .NET cho Trình lập lịch tác vụ của Windows,” theo Russell của Red Canary. “Đây là cách ChromeLoader duy trì sự tồn tại của nó trên máy của nạn nhân sau này trong chuỗi xâm nhập.”

Sau khi được cài đặt, ChromeLoader sử dụng lệnh PowerShell để tải tiện ích mở rộng của Chrome từ tài nguyên từ xa. Sau đó PowerShell sẽ xóa tác vụ đã lên lịch để nạn nhân không biết rằng trình duyệt của họ đã bị xâm phạm, Boyd nói.

“Tại thời điểm này, kết quả tìm kiếm không thể được tin cậy và các mục nhập không có thật sẽ được hiển thị cho người dùng,” ông viết.

ChromeLoader sử dụng cùng một mồi nhử — video vi phạm bản quyền hoặc trò chơi bị bẻ khóa — để thu hút người dùng macOS, nhưng quá trình lây nhiễm có một chút khác biệt, Russell giải thích. Trên máy macOS, ChromeLoader sử dụng tệp aDMG chứa tập lệnh trình cài đặt có thể giảm tải cho Chrome hoặc Safari thay vì tệp thực thi di động.

“Khi được thực thi bởi người dùng cuối, tập lệnh trình cài đặt sau đó khởi chạy cURL để truy xuất tệp ZIP có chứa tiện ích mở rộng trình duyệt độc hại và giải nén nó trong thư mục private / var / tmp, cuối cùng thực thi Chrome với các tùy chọn dòng lệnh để tải tiện ích mở rộng độc hại, " anh đã viết.

Giảm thiểu và phát hiện

Các nhà nghiên cứu đã đưa ra lời khuyên về cách giảm thiểu cũng như cả các cách cấp người dùng và quản trị viên để phát hiện xem hệ thống có bị nhiễm ChromeLoader hay không.

Một mẹo rõ ràng là tránh tải xuống phần mềm hoặc video vi phạm bản quyền, điều mà Boyd đã cảnh báo “là một công việc kinh doanh rất rủi ro”, chưa kể là bất hợp pháp.

Ông viết: “Nếu bạn đang tải xuống một torrent, bạn có thể đang xúc xắc liên quan đến tình trạng kỹ thuật số của thiết bị của mình.

Người dùng cũng có thể nhấp vào biểu tượng “Thêm”, sau đó nhấp vào “Công cụ khác -> Tiện ích mở rộng” từ danh sách thả xuống trong Chrome để xem mọi thứ đã được cài đặt, đang hoạt động hoặc bị tắt, cùng với thông tin bổ sung về tất cả các tiện ích mở rộng hiện có. Google đưa ra các bước để đặt lại cài đặt trình duyệt hoặc dọn dẹp mọi thứ, anh ấy nói.

Red Canary cung cấp các chiến thuật phát hiện nâng cao hơn dựa trên việc ChromeLoader sử dụng PowerShell để tìm xem trình duyệt có bị nhiễm virus hay không.

Một là tìm kiếm PowerShell có chứa phiên bản rút gọn của cờ encodedCommand trong dòng lệnh của nó, có thể tìm thấy việc thực thi các lệnh PowerShell được mã hóa. Một cách khác là tìm kiếm các trường hợp thực thi của trình duyệt Chrome sinh ra từ PowerShell bằng một dòng lệnh tương ứng bao gồm appdatalocal dưới dạng tham số.

Trong macOS, quản trị viên bảo mật có thể tìm kiếm các tập lệnh forsh hoặc bash chạy trong môi trường macOS bằng các dòng lệnh được liên kết với biến thể macOS của ChromeLoader, cũng như việc thực thi các lệnh sh, bash hoặc zsh được mã hóa trên các điểm cuối macOS để biết liệu trình duyệt có bị bị lây nhiễm.

tại chỗ_img

Tin tức mới nhất

tại chỗ_img