Portada » Home » El nuevo malware ChromeLoader se convirtió en una amenaza para los navegadores

El nuevo malware ChromeLoader se convirtió en una amenaza para los navegadores

ChromeLoader es un secuestrador de navegador que puede modificar la configuración del navegador web de la víctima para mostrar resultados de búsqueda que promocionan software no deseado, regalos y encuestas falsas, juegos para adultos y sitios de citas.

Los operadores del malware reciben ganancias financieras a través de un sistema de afiliación de marketing al redirigir el tráfico de usuarios a sitios publicitarios.

Hay muchos secuestradores de este tipo, pero ChromeLoader destaca por su persistencia, volumen y vía de infección, que implica el uso agresivo de PowerShell.

Según los investigadores de Red Canary, que han estado siguiendo la actividad de ChromeLoader desde febrero de este año, los operadores del secuestrador usan un archivo ISO malicioso para infectar a sus víctimas.

El ISO se hace pasar por un ejecutable descifrado para un juego o software comercial, por lo que es probable que las mismas víctimas lo descarguen a través de torrents o sitios maliciosos.

Los investigadores también notaron publicaciones en Twitter que promocionan juegos de Android descifrados y ofrecen códigos QR que conducen a sitios de alojamiento de malware.

Cuando una persona hace doble clic en el archivo ISO en Windows 10 o posterior, el archivo ISO se montará como una unidad de CD-ROM virtual. Este archivo ISO contiene un ejecutable que pretende ser un crack o keygen del juego, usando nombres como «CS_Installer.exe».

Finalmente, ChromeLoader ejecuta y decodifica un comando de PowerShell que obtiene un archivo de un recurso remoto y lo carga como una extensión de Google Chrome.

Una vez hecho esto, PowerShell eliminará la tarea programada dejando a Chrome infectado con una extensión inyectada silenciosamente que secuestra el navegador y manipula los resultados del motor de búsqueda.

MacOS también en la mira

Los operadores de ChromeLoader también apuntan a los sistemas macOS, buscando manipular los navegadores web Chrome y Safari de Apple.

La cadena de infección en macOS es similar, pero en lugar de ISO, los atacantes usan archivos DMG (Imagen de disco de Apple), un formato más común en ese sistema operativo.

Además, en lugar del ejecutable del instalador, la variante de macOS usa un script bash del instalador que descarga y descomprime la extensión ChromeLoader en el directorio «private/var/tmp».