El nuevo malware ChromeLoader amenaza a los navegadores de todo el mundo

El malware ChromeLoader está experimentando un aumento en las detecciones este mes, luego de un volumen relativamente estable desde principios de año, lo que hace que el secuestro del navegador se convierta en una amenaza generalizada.

ChromeLoader es un secuestrador de navegador que puede modificar la configuración del navegador web de la víctima para mostrar resultados de búsqueda que promocionan software no deseado, obsequios y encuestas falsos, juegos para adultos y sitios de citas.

Los operadores del malware reciben ganancias financieras a través de un sistema de afiliación de marketing al redirigir el tráfico de usuarios a sitios publicitarios.

Hay muchos secuestradores de este tipo, pero ChromeLoader destaca por su persistencia, volumen y vía de infección, que implica el uso agresivo de PowerShell.

Abuso de PowerShell

Según los investigadores de Red Canary, que han estado siguiendo la actividad de ChromeLoader desde febrero de este año, los operadores del secuestrador usan un archivo ISO malicioso para infectar a sus víctimas.

El ISO se hace pasar por un ejecutable descifrado para un juego o software comercial, por lo que es probable que las víctimas lo descarguen ellos mismos de torrents o sitios maliciosos.

Los investigadores también notaron publicaciones en Twitter que promocionan juegos de Android descifrados y ofrecen códigos QR que conducen a sitios de alojamiento de malware.

Cuando una persona hace doble clic en el archivo ISO en Windows 10 o posterior, el archivo ISO se montará como una unidad de CD-ROM virtual. Este archivo ISO contiene un ejecutable que pretende ser un crack o keygen del juego, usando nombres como "CS_Installer.exe".


Finalmente, ChromeLoader ejecuta y decodifica un comando de PowerShell que obtiene un archivo de un recurso remoto y lo carga como una extensión de Google Chrome.

Una vez hecho esto, PowerShell eliminará la tarea programada dejando a Chrome infectado con una extensión inyectada silenciosamente que secuestra el navegador y manipula los resultados del motor de búsqueda.


macOS también apuntado

Los operadores de ChromeLoader también apuntan a los sistemas macOS, buscando manipular los navegadores web Chrome y Safari de Apple.

La cadena de infección en macOS es similar, pero en lugar de ISO, los atacantes usan archivos DMG (Imagen de disco de Apple), un formato más común en ese sistema operativo.

Además, en lugar del ejecutable del instalador, la variante de macOS usa un script bash del instalador que descarga y descomprime la extensión ChromeLoader en el directorio "private/var/tmp".


"Para mantener la persistencia, la variación de ChromeLoader para macOS agregará un archivo de preferencias (`plist`) al directorio `/Library/LaunchAgents`", explica el informe de Red Canary.

"Esto garantiza que cada vez que un usuario inicie sesión en una sesión gráfica, el script Bash de ChromeLoader pueda ejecutarse continuamente".

Para obtener instrucciones sobre cómo verificar qué extensiones se ejecutan en su navegador web y cómo administrarlas, restringirlas o eliminarlas, consulte esta guía para Chrome o esta para Safari .

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta