Перехватчик браузеров ChromeLoader атакует пользователей по всему миру
От других перехватчиков ChromeLoader отличается способностью сохранять постоянство, масштабами атак и использованием PowerShell.
В этом месяце резко возросло число атак с использованием вредоносного ПО ChromeLoader, предупреждают специалисты из Red Canary.
ChromeLoader представляет собой перехватчик браузера, способный модифицировать настройки браузера жертвы, чтобы в результатах поиска отображались ресурсы с нежелательным ПО, мошенническими акциями и исследованиями, играми «для взрослых» и сайты знакомств. Его операторы получают прибыль путем переадресации пользовательского трафика на рекламные сайты.
От других перехватчиков подобного рода ChromeLoader отличается способностью сохранять постоянство на системе, масштабами атак и агрессивным использованием PowerShell.
Для заражения жертв вредонос использует вредоносный архивный файл ISO, замаскированный под взломанную игру или коммерческое ПО. То есть, жертвы сами загружают его с торрентов или вредоносных сайтов.
Когда пользователь два раза щелкнет на этот файл на компьютере под управлением Windows 10 или 11, он будет установлен в качестве виртуального CD-ROM. В файле содержится исполняемый файл CS_Installer.exe, выдаваемый за ключ активации игры/ПО.
В конечном итоге ChromeLoader выполняет и декодирует команду PowerShell, извлекающую архив с удаленного ресурса и загружающую его как расширение для Google Chrome. Далее PowerShell удаляет запланированную задачу, оставляя Chrome зараженным тайно внедренным расширением, манипулирующим результатами поиска.
ChromeLoader также атакует macOS и может подделывать результаты поиска как в Chrome, так и в Apple Safari, но вместо файла ISO используются файлы DMG (Apple Disk Image).
Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!