Malware usa Chrome per attacchi hijacking

Malware usa Chrome per attacchi hijacking

ChromeLoader installa un'estensione in Chrome per manipolare i risultati delle ricerche e portare gli utenti su diversi siti di malvertising.
ChromeLoader installa un'estensione in Chrome per manipolare i risultati delle ricerche e portare gli utenti su diversi siti di malvertising.

I ricercatori di Red Canary hanno rilevato un numero crescente di attacchi hijacking effettuati con ChromeLoader, un malware che sfrutta PowerShell e un’estensione per dirottare gli utenti su vari siti di advertising. Al momento sembra che l’unico scopo dei cybercriminali sia quello di incassare percentuali da accordi di affiliazione, ma la tecnica potrebbe essere utilizzata per provocare danni maggiori. Questo genere di minacce viene fortunatamente rilevata e bloccata dalle moderne soluzioni di sicurezza. Tra le migliori c’è Sophos Home, attualmente disponibile con uno sconto del 25%.

Hijacking con Chrome e PowerShell

ChromeLoader è un browser hijacker che modifica le impostazioni di Chrome per visualizzare siti pubblicitari. Il malware viene distribuito attraverso immagini ISO che dovrebbero contenere giochi pirata. Il sito fasullo che ospita i file ISO viene pubblicizzato sui social media mediante codici QR.

Quando l’utente apre l’immagine ISO, Windows mostra il contenuto, tra cui un eseguibile che installa ChromeLoader e un wrapper .NET per Windows Task Scheduler (Utilità di pianificazione) che consente di mantenere la persistenza sul computer. Il task in questione consiste nell’esecuzione di un comando PowerShell che scarica l’estensione di ChromeLoader da un server remoto e la carica in Chrome.

L’estensione manipola i risultati delle ricerche e redireziona il traffico verso siti di malvertising. Esiste anche una versione per macOS, ma viene utilizzato un file DMG per nascondere uno script che scarica il malware e installa l’estensione in Chrome e Safari.

I ricercatori di Red Canary spiegano come individuare ChromeLoader. La soluzione migliore è utilizzare un antivirus che blocca l’accesso ai siti infetti, come Sophos Home.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione.

Fonte: Red Canary
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 26 mag 2022
Link copiato negli appunti