ChromeLoader kötü amaçlı yazılımı dünya çapında yayılıyor ve hem Windows hem de Mace saldırıyor

ChromeLoader adlı kötü amaçlı yazılımın, yılbaşından bu yana istikrarlı bir şekilde yarattığı tahribatın ardından bu ay sayıları artıyor. Bu durum tarayıcı korsanlığını yaygın bir tehdit haline getiriyor.

ChromeLoader, kurbanın web tarayıcısı ayarlarını, çöp yazılım reklamı yapan, sahte anket sitelerinde otomatik çalıştırmalar yapan, sahte hediyeler veren ve yetişkin oyunları ve flört sitelerinin reklamını yapan arama sonuçlarını gösterecek şekilde değiştirebilen bir tür tarayıcı korsanıdır.

Bu kötü amaçlı yazılımın arkasındakiler, bir ortaklık pazarlama sistemi aracılığıyla finansal çıkar elde edecekler.

Bu türden pek çok kötü amaçlı yazılım bulunuyor, ancak ChromeLoader, PowerShell'i agresif bir şekilde kötüye kullanması nedeniyle kalıcılığı, ölçeği ve enfeksiyon yoluyla öne çıkıyor.

PowerShell Kötüye Kullanımı

Şubat ayından bu yana ChromeLoader'ın faaliyetlerini izleyen Red Canary araştırmacılarına göre, operatörler kurbanları kötü amaçlı yazılımlarla enfekte etmek için kötü amaçlı bir ISO arşiv dosyası kullanıyor.

Kötü amaçlı ISO dosyaları genellikle kurbanların indirip etkinleştirebileceği kırık yazılım veya oyun kılığına girer. Twitter'da, doğrudan kötü amaçlı yazılım indirme sayfalarına yönlendiren QR kodlu, kırılmış Android oyunlarının reklamları bile var.

Kullanıcı kötü amaçlı ISO dosyasına çift tıkladığında, dosya sanal CD-ROM sürücüsü olarak bağlanıyor. İçerisinde .exe uzantılı çalıştırılabilir dosyalar bulunacaktır. Çalıştırıldığında ChromeLoader'ı tetikleyecek ve uzak bir kaynak önbellek dosyasını alıp onu bir Google Chrome uzantısı olarak yükleme yeteneğine sahip bir PowerShell komutunu kodlayacaktır .

İşlem tamamlandığında PowerShell, tarayıcıya sessizce sızabilen ve arama sonuçlarını değiştirebilen ve diğer eylemleri gerçekleştirebilen bir uzantıyla Chrome'u enfekte eden zamanlanmış görevleri silecektir.

macOS da savunmasızdır

ChromeLoader'ın arkasındaki kişiler macOS çalıştıran bilgisayarları da hedefliyor. macOS'ta çalışan Chrome ve Safari'yi manipüle etmek istiyorlar .

macOS'taki enfeksiyon zinciri Windows'takine benzer, ancak ISO'lar yerine Apple'ın işletim sisteminde daha yaygın bir format olan DMG (Apple Disk Image) dosyaları kullanılır.

Ayrıca, macOS'taki ChromeLoader sürümü, yükleyiciyi çalıştırmak yerine, yükleyicinin bash betiğini kullanarak "private/var/tmp" dizinindeki ChromeLoader uzantısını indirir ve açar.

Mümkün olduğunca uzun süre mevcut kalmak için ChromeLoader, '/Library/LaunchAgents' klasörüne bir tercihler dosyası ('plist') ekleyecektir. Bu, bir kullanıcı grafiksel bir oturuma her giriş yaptığında ChromeLoader Bash betiğinin sürekli olarak çalışabilmesini sağlar.

Uzantıları kontrol etmek ve silmek için şu talimatları izleyin:

• Google Chrome, Safari, Firefox'taki uzantıları kontrol edin ve silin

Ayrıca, olağan dışı bir durum olup olmadığını görmek için diğer tarayıcı ayarlarınızı da kontrol edebilirsiniz. Eğer garip bir ayar bulursanız, sorunu çözmek için orijinal moduna geri yükleyin.