ChromeLoader

L'application ChromeLoader a été classée comme pirate de navigateur. En tant que tel, son objectif est de prendre le contrôle de plusieurs paramètres importants du navigateur Web pour générer un trafic artificiel vers les pages promues ou diffuser des publicités indésirables et peu fiables sur le système. Les publicités associées aux pirates de navigateur, aux logiciels publicitaires ou à d'autres PUP (programmes potentiellement indésirables) font souvent la promotion de produits logiciels intrusifs, de sites Web canulars, de faux cadeaux, de portails de phishing, de jeux suspects pour adultes ou de sites destinés aux adultes.

Bien que ChromeLoader possède toutes ces fonctionnalités typiques de pirate de navigateur, il est également équipé de certaines fonctionnalités exceptionnelles. Les détails de l'application ont été révélés au public dans un rapport des chercheurs en cybersécurité de Red Canary. Selon leurs conclusions, ChromeLoader montre une utilisation intensive de PowerShell.

Vecteur d'infection

L'application se propage sous la forme d'une archive ISO corrompue. Ce fichier ISO est déguisé en exécutable fissuré pour les jeux vidéo populaires ou les logiciels commerciaux. Il est fort probable que les utilisateurs qui visitent des sites diffusant des versions piratées de ces produits aient probablement téléchargé eux-mêmes le fichier ChromeLoader.

Une fois exécuté, le fichier ISO sera monté sur le système en tant que lecteur de CD-ROM virtuel. Pour maintenir l'illusion qu'il appartient au logiciel ou au jeu piraté attendu, le fichier contient un exécutable avec un nom similaire à "CS_Installer.exe". L'étape suivante de la chaîne d'attaque consiste à exécuter une commande PowerShell chargée de récupérer une archive spécifique à partir d'un emplacement distant. L'archive sera ensuite chargée sur le système en tant qu'extension Google Chrome. La dernière étape utilise à nouveau PowerShell, mais cette fois pour supprimer une tâche planifiée précédemment créée.

Les appareils Mac peuvent être impactés

Les opérateurs de ChromeLoader ont également ajouté la possibilité de compromettre les navigateurs Safari d'Apple. Le flux général de l'infection reste le même, mais le fichier ISO initial a été remplacé par le type de fichier DMG (Apple Disk Image) le plus courant sur les périphériques OS. La variante macOS utilise également un script bash pour récupérer et décompresser l'extension ChromeLoader. Le pirate de navigateur sera déposé dans le répertoire 'private/var/tmp'. Pour assurer sa persistance sur Mac, ChromeLoader ajoute un fichier 'plist' à '/Library/LaunchAgents.'