ChromeLoader

ChromeLoaderアプリは、ブラウザハイジャッカーとして分類されています。そのため、その目標は、いくつかの重要なWebブラウザー設定を制御して、プロモートされたページへの人工的なトラフィックを生成したり、システムに不要で信頼できない広告を配信したりすることです。ブラウザハイジャッカー、アドウェア、またはその他のPUP（望ましくない可能性のあるプログラム）に関連する広告は、多くの場合、侵入型ソフトウェア製品、デマWebサイト、偽の景品、フィッシングポータル、疑わしいアダルトゲーム、またはアダルト向けサイトを宣伝します。

ChromeLoaderは、これらの一般的なブラウザハイジャッカー機能をすべて備えていますが、いくつかの優れた機能も備えています。アプリケーションの詳細は、RedCanaryのサイバーセキュリティ研究者によるレポートで公開されました。彼らの調査結果によると、ChromeLoaderはPowerShellの広範な使用を示しています。

感染ベクトル

アプリケーションは、破損したISOアーカイブとして拡散されています。このISOファイルは、人気のあるビデオゲームや商用ソフトウェアのクラックされた実行可能ファイルを装っています。そのような製品のひびの入ったバージョンを広めているサイトにアクセスするユーザーは、おそらくChromeLoaderのファイルを自分でダウンロードした可能性が高いです。

実行すると、ISOファイルは仮想CD-ROMドライブとしてシステムにマウントされます。予想されるクラックされたソフトウェアまたはゲームに属しているという錯覚を維持するために、ファイルには「CS_Installer.exe」のような名前の実行可能ファイルが含まれています。攻撃チェーンの次のステップでは、リモートロケーションから特定のアーカイブをフェッチするPowerShellコマンドを実行します。その後、アーカイブはGoogleChrome拡張機能としてシステムに読み込まれます。最後のステップではPowerShellを再度使用しますが、今回は以前に作成したスケジュールタスクを削除します。

Macデバイスが影響を受ける可能性があります

ChromeLoaderのオペレーターは、AppleのSafariブラウザーを危険にさらす機能も追加しました。感染の一般的な流れは同じですが、最初のISOファイルは、OSデバイスでより一般的なDMG（Apple Disk Image）ファイルタイプに置き換えられています。 macOSバリアントは、bashスクリプトを利用して、ChromeLoader拡張機能をフェッチおよび解凍します。ブラウザハイジャッカーは「private/var/tmp」ディレクトリにドロップされます。 Macでの永続性を保証するために、ChromeLoaderは「plist」ファイルを「/ Library/LaunchAgents」に追加します。