ChromeLoader pode se apresentar como um sequestrador de navegador comum, o que faria com que as vítimas fossem direcionadas para sites de publicidade. Todavia, o seu recurso de PowerShell pode representar uma ameaça mais séria, permitindo atividades maliciosas mais evoluídas, como o espalhamento de ransomware ou spyware, ou ainda, o furto de dados de sessão do navegador.
Os cientistas alertam sobre o poder do ChromeLoader – que teve um aumento na sua atividade recentemente – para apresentar-se como uma ameaça mais avançada do que os malvertisers comuns, segundo dois artigos independentes por parte das empresas Malwarebytes Labs e Red Canary.
O ChromeLoader é um persistente e penetrante sequestrador de navegador que, eventualmente, surge como uma extensão para o Chrome, alterando as definições do navegador e direcionando o tráfego dos usuários para sites de publicidade. Os pesquisadores descobriram que as vítimas no Windows foram infectadas com o malware através dos arquivos ISO, que se passam por jogos de vídeo pirateados, filmes ou programas de televisão.
No entanto, o ChromeLoader é compatível com todas as plataformas, o que significa que os usuários do macOS também são susceptíveis de infecção, de acordo com o post do blog do Líder Analista de Inteligência de Malware da Malwarebytes, Christopher Boyd. Ainda assim, ao invés de vasculhar arquivos ISO, os invasores empregam arquivos DMG (Imagem de Disco da Apple), um formato mais comum para macOS, para ocultar o ChromeLoader, ele afirmou.
Apesar de seu objetivo ser obscuro, o ChromeLoader possui uma particularidade única, usando o PowerShell para inserir-se no navegador e incluir uma extensão maliciosa – algo que não se vê com frequência e que muitas vezes não é detectado pelos dispositivos de segurança, alertou Aedan Russell, da equipe de Detecção de Engenharia do Canário Vermelho, em um post.
Se aplicado a uma ameaça de grande porte – como um colhedor ou software malicioso de espionagem de informações – o comportamento do PowerShell poderia contribuir para que o malware consiga uma estabilidade inicial sem ser detectado antes de realizar ações muito ruins, como a filtragem de dados da navegação de um usuário”, afirmou.
O ciclo de infecção se desenrola da seguinte maneira: o vírus penetra no corpo, se reproduz e provoca sinais e sintomas.
ChromeLoader explorou arquivos fraudulentos propagados no Twitter e outras plataformas, bem como em sites fraudulentos e torrentes que oferecem jogos de vídeo pirateados e outros conteúdos para download sem custo, de acordo com pesquisadores.
De acordo com Boyd, alguns posts de mídia social incentivam os jogadores a baixar jogos Android “crackeados” utilizando códigos QR para redirecioná-los para sites desonestos.
Ao pressionar duas vezes o arquivo ISO, monte-o como um CD-ROM virtual, contendo o executável da ISO que alega ser o que a vítima estava buscando, descreveu ele.
Neste ISO existe um programa executável que é usado para instalar o ChromeLoader, juntamente com um envoltório .NET para o Agendador de Tarefas do Windows, de acordo com Russell do Red Canary. É assim que o ChromeLoader consegue ter uma presença persistente na máquina da vítima posteriormente durante o processo de invasão.
Uma vez instalado, o ChromeLoader utiliza um Comando Shell robusto para descarregar uma extensão do Chrome a partir de um servidor remoto. O Comando Shell então remove a tarefa agendada de modo a que a vítima não perceba que o seu navegador foi comprometido, Boyd afirmou.
Neste lugar, a fiabilidade dos resultados da pesquisa não pode ser garantida e as entradas erradas serão mostradas ao usuário”, escreveu.
O ChromeLoader emprega o mesmo artifício – vídeos estimulantes ou jogos hackeados – para atrair usuários do macOS, porém o processo de infecção é um tanto diferente, segundo Russell. Nas máquinas macOS, o ChromeLoader recorre a um arquivo .dmg contendo um script instalador que pode liberar cargas de pagamento para o Chrome ou Safari em vez de um arquivo de execução portátil.
Quando o usuário clica para executar o script de instalação, o cURL é acionado para baixar um arquivo ZIP contendo a extensão de navegador maliciosa, que é descompactada dentro da pasta privada /var/tmp. Em seguida, o Chrome é aberto com opções de linha de comando para carregar a extensão maliciosa, relatou.
A minimização e a identificação de riscos são componentes fundamentais de uma política de segurança.
Os especialistas proporcionaram recomendações de minoração, além de técnicas a serem utilizadas por usuários e administradores para identificar caso um sistema tenha sido contaminado pelo ChromeLoader.
Uma recomendação básica é desencorajar o download de programas ou filmes pirateados, que Boyd advertiu “é uma prática muito arriscada”, não se esquecendo que é ilegal.
“Se você estiver baixando um arquivo em formato torrent, pode estar colocando em risco a segurança digital de seus equipamentos”, declarou.
Clicando na opção “Mais” e, em seguida, “Mais Ferramentas -> Extensões” na lista suspensa do Chrome, os usuários terão acesso a todas as extensões instaladas, sejam elas ativas ou desativadas, juntamente com informações adicionais. Se surgirem dúvidas, o Google fornece instruções para redefinir as configurações do navegador ou limpar os dados, conforme destacou.
A Red Canary forneceu técnicas de detecção aprimoradas usando o ChromeLoader de PowerShell para determinar se um navegador foi contaminado.
Uma maneira de procurar por PowerShell é procurar por uma versão reduzida da bandeira “Command” codificada na linha de comando, que pode revelar o uso de comandos PowerShell codificados. Outra maneira é pesquisar por instâncias do servidor executável do navegador Chrome de PowerShell, que possui uma linha de comando correspondente contendo “appdata\local” como parâmetro.
Em macOS, administradores de segurança podem investigar scripts “fish”, “bash” ou “zsh” que foram executados em ambientes macOS utilizando o ChromeLoader variante macOS, juntamente com a execução de comandos codificados “sh”, “bash” ou “zsh” nos endpoints macOS para determinar se um navegador foi comprometido.
Por favor, divulgue este artigo.
- Vulnerabilidades de segurança são fraquezas que permitem que agentes maliciosos comprometam o sistema, explorando-as.
- Proteger dados e informações pessoais é um assunto primordial para todos que usam a web. Por isso, é necessário que todos adotem medidas para assegurar que seus dados estejam protegidos.
