Malware ChromeLoader merebak ke seluruh dunia, menyerang kedua-dua Windows dan Mac

Bulan ini, perisian hasad ChromeLoader semakin meningkat dalam jumlah selepas menyebabkan malapetaka pada kadar yang stabil sejak awal tahun ini. Ini menjadikan rampasan pelayar sebagai ancaman yang meluas.

ChromeLoader ialah sejenis perampas penyemak imbas yang boleh mengubah suai tetapan penyemak imbas web mangsa untuk memaparkan hasil carian yang mengiklankan perisian sarap, menjalankan auto-jalan di tapak tinjauan palsu, hadiah palsu dan mengiklankan permainan dewasa dan tapak temu janji.

Mereka yang berada di belakang perisian hasad ini akan menerima faedah kewangan melalui sistem pemasaran gabungan.

Terdapat banyak perisian hasad jenis ini, tetapi ChromeLoader menonjol kerana kegigihan, skala dan laluan jangkitannya berkat penyalahgunaan PowerShell yang agresif .

Penyalahgunaan PowerShell

Menurut penyelidik di Red Canary, yang telah menjejaki aktiviti ChromeLoader sejak Februari, pengendali menggunakan fail arkib ISO berniat jahat untuk menjangkiti mangsa dengan perisian hasad.

Biasanya fail ISO berniat jahat akan menyamar sebagai perisian atau permainan retak untuk dimuat turun dan diaktifkan oleh mangsa. Malah terdapat iklan di Twitter untuk permainan Android yang retak dengan kod QR yang membawa terus ke halaman muat turun perisian hasad.

Apabila pengguna mengklik dua kali fail ISO berniat jahat, ia dipasang sebagai pemacu CD-ROM maya. Ia akan mengandungi fail boleh laku dengan sambungan .exe. Apabila dijalankan ia akan mencetuskan ChromeLoader dan menyahkod perintah PowerShell dengan keupayaan untuk mengambil fail cache sumber jauh dan memuatkannya sebagai sambungan Google Chrome .

Setelah selesai, PowerShell akan memadamkan tugas berjadual yang menjangkiti Chrome dengan sambungan yang boleh menyusup ke dalam penyemak imbas secara senyap dan memanipulasi hasil carian serta melakukan tindakan lain.

macOS juga terdedah

Orang di belakang ChromeLoader juga menyasarkan komputer yang menjalankan macOS. Mereka mahu memanipulasi kedua-dua Chrome dan Safari yang dijalankan pada macOS.

Rantaian jangkitan pada macOS adalah serupa dengan Windows, tetapi bukannya menggunakan ISO, mereka menggunakan fail DMG (Apple Disk Image), format yang lebih biasa pada sistem pengendalian Apple.

Selain itu, daripada melaksanakan pemasang, varian ChromeLoader pada macOS menggunakan skrip bash pemasang untuk memuat turun dan membongkar exension ChromeLoader dalam direktori "private/var/tmp".

Untuk kekal hadir selama mungkin, ChromeLoader akan menambah fail pilihan ('plist') pada folder '/Library/LaunchAgents'. Ini memastikan bahawa setiap kali pengguna log masuk ke sesi grafik, skrip ChromeLoader Bash boleh dijalankan secara berterusan.

Untuk menyemak dan memadam sambungan, ikut arahan ini:

• Semak dan padam sambungan pada Google Chrome, Safari, Firefox

Selain itu, anda juga boleh menyemak tetapan penyemak imbas lain untuk melihat jika ada yang luar biasa. Jika anda menemui sebarang tetapan pelik, pulihkan mod asal untuk menyelesaikan masalah.