I ricercatori di Red Canary hanno rilevato un numero crescente di attacchi hijacking effettuati con ChromeLoader, un malware che sfrutta PowerShell e un’estensione per dirottare gli utenti su vari siti di advertising. Al momento sembra che l’unico scopo dei cybercriminali sia quello di incassare percentuali da accordi di affiliazione, ma la tecnica potrebbe essere utilizzata per provocare danni maggiori. Questo genere di minacce viene fortunatamente rilevata e bloccata dalle moderne soluzioni di sicurezza. Tra le migliori c’è Sophos Home, attualmente disponibile con uno sconto del 25%.
Hijacking con Chrome e PowerShell
ChromeLoader è un browser hijacker che modifica le impostazioni di Chrome per visualizzare siti pubblicitari. Il malware viene distribuito attraverso immagini ISO che dovrebbero contenere giochi pirata. Il sito fasullo che ospita i file ISO viene pubblicizzato sui social media mediante codici QR.
Quando l’utente apre l’immagine ISO, Windows mostra il contenuto, tra cui un eseguibile che installa ChromeLoader e un wrapper .NET per Windows Task Scheduler (Utilità di pianificazione) che consente di mantenere la persistenza sul computer. Il task in questione consiste nell’esecuzione di un comando PowerShell che scarica l’estensione di ChromeLoader da un server remoto e la carica in Chrome.
L’estensione manipola i risultati delle ricerche e redireziona il traffico verso siti di malvertising. Esiste anche una versione per macOS, ma viene utilizzato un file DMG per nascondere uno script che scarica il malware e installa l’estensione in Chrome e Safari.
I ricercatori di Red Canary spiegano come individuare ChromeLoader. La soluzione migliore è utilizzare un antivirus che blocca l’accesso ai siti infetti, come Sophos Home.
Ti potrebbe interessare
26 mag 2022