ChromeLoader es un secuestrador de navegador que puede modificar la configuración del navegador web de la víctima para mostrar resultados de búsqueda que promocionan software no deseado, regalos y encuestas falsas, juegos para adultos y sitios de citas. Los operadores del malware reciben ganancias financieras a través de un sistema de afiliación de marketing al […]
ChromeLoader es un secuestrador de navegador que puede modificar la configuración del navegador web de la víctima para mostrar resultados de búsqueda que promocionan software no deseado, regalos y encuestas falsas, juegos para adultos y sitios de citas.
Los operadores del malware reciben ganancias financieras a través de un sistema de afiliación de marketing al redirigir el tráfico de usuarios a sitios publicitarios.
Hay muchos secuestradores de este tipo, pero ChromeLoader destaca por su persistencia, volumen y vía de infección, que implica el uso agresivo de PowerShell.
Según los investigadores de Red Canary, que han estado siguiendo la actividad de ChromeLoader desde febrero de este año, los operadores del secuestrador usan un archivo ISO malicioso para infectar a sus víctimas.
El ISO se hace pasar por un ejecutable descifrado para un juego o software comercial, por lo que es probable que las mismas víctimas lo descarguen a través de torrents o sitios maliciosos.
Los investigadores también notaron publicaciones en Twitter que promocionan juegos de Android descifrados y ofrecen códigos QR que conducen a sitios de alojamiento de malware.
Cuando una persona hace doble clic en el archivo ISO en Windows 10 o posterior, el archivo ISO se montará como una unidad de CD-ROM virtual. Este archivo ISO contiene un ejecutable que pretende ser un crack o keygen del juego, usando nombres como “CS_Installer.exe”.
Finalmente, ChromeLoader ejecuta y decodifica un comando de PowerShell que obtiene un archivo de un recurso remoto y lo carga como una extensión de Google Chrome.
Una vez hecho esto, PowerShell eliminará la tarea programada dejando a Chrome infectado con una extensión inyectada silenciosamente que secuestra el navegador y manipula los resultados del motor de búsqueda.
MacOS también en la mira
Los operadores de ChromeLoader también apuntan a los sistemas macOS, buscando manipular los navegadores web Chrome y Safari de Apple.
La cadena de infección en macOS es similar, pero en lugar de ISO, los atacantes usan archivos DMG (Imagen de disco de Apple), un formato más común en ese sistema operativo.
Además, en lugar del ejecutable del instalador, la variante de macOS usa un script bash del instalador que descarga y descomprime la extensión ChromeLoader en el directorio “private/var/tmp”.
Artículos relacionados
Un nuevo error, aún sin parche, podría permitir robar dinero de cuentas de PayPal
24 de mayo de 2022Un investigador de seguridad afirma haber descubierto una vulnerabilidad sin parches en el servicio de transferencia de dinero de PayPal que podría permitir a los atacantes engañar a las víctimas para que, sin saberlo, completen transacciones dirigidas por el atacante con un solo clic.
[Update] Documento podría explotar vulnerabilidad de día cero de MS Office
30 de mayo de 2022Diversos investigadores de ciberseguridad emitieron una advertencia luego de detectar una nueva vulnerabilidad de día cero de Microsoft Office que puede haber sido explotada en la naturaleza.
