Le malware ChromeLoader se propage dans le monde entier, attaquant à la fois Windows et Mac

Ce mois-ci, le malware ChromeLoader se multiplie après avoir causé des ravages à un rythme constant depuis le début de l'année. Cela fait du piratage de navigateur une menace répandue.

ChromeLoader est un type de pirate de navigateur qui peut modifier les paramètres du navigateur Web de la victime pour afficher des résultats de recherche qui font la publicité de logiciels indésirables, exécutent des exécutions automatiques sur de faux sites d'enquête, de faux cadeaux et font la publicité de jeux pour adultes et de sites de rencontres.

Les personnes à l’origine de ce malware recevront des avantages financiers grâce à un système de marketing d’affiliation.

Il existe de nombreux logiciels malveillants de ce type, mais ChromeLoader se distingue par sa persistance, son évolutivité et son chemin d'infection grâce à son abus agressif de PowerShell .

Abus de PowerShell

Selon les chercheurs de Red Canary, qui suivent l'activité de ChromeLoader depuis février, les opérateurs utilisent un fichier d'archive ISO malveillant pour infecter les victimes avec des logiciels malveillants.

Habituellement, les fichiers ISO malveillants sont déguisés en logiciels ou jeux piratés que les victimes peuvent télécharger et activer elles-mêmes. Il existe même des publicités sur Twitter pour des jeux Android crackés avec des codes QR qui mènent directement à des pages de téléchargement de logiciels malveillants.

Lorsque l’utilisateur double-clique sur le fichier ISO malveillant, celui-ci est monté comme un lecteur de CD-ROM virtuel. Il contiendra des fichiers exécutables avec l'extension .exe. Lorsqu'il est exécuté, il déclenchera ChromeLoader et décodera une commande PowerShell avec la possibilité de récupérer un fichier de cache de ressources distant et de le charger en tant qu'extension Google Chrome .

Une fois cela fait, PowerShell supprimera les tâches planifiées qui ont infecté Chrome avec une extension qui peut infiltrer silencieusement le navigateur et manipuler les résultats de recherche et effectuer d'autres actions.

macOS est également vulnérable

Les personnes derrière ChromeLoader ciblent également les ordinateurs exécutant macOS. Ils veulent manipuler à la fois Chrome et Safari exécutés sur macOS.

La chaîne d'infection sur macOS est similaire à celle sur Windows, mais au lieu d'utiliser des ISO, ils utilisent des fichiers DMG (Apple Disk Image), un format plus courant sur le système d'exploitation d'Apple.

De plus, au lieu d'exécuter le programme d'installation, la variante ChromeLoader sur macOS utilise le script bash du programme d'installation pour télécharger et décompresser l'extension ChromeLoader dans le répertoire « private/var/tmp ».

Pour rester présent le plus longtemps possible, ChromeLoader ajoutera un fichier de préférences ('plist') au dossier '/Library/LaunchAgents'. Cela garantit que chaque fois qu'un utilisateur se connecte à une session graphique, le script Bash de ChromeLoader peut s'exécuter en continu.

Pour vérifier et supprimer les extensions, suivez ces instructions :

• Vérifiez et supprimez les extensions sur Google Chrome, Safari, Firefox

De plus, vous pouvez également vérifier d’autres paramètres du navigateur pour voir si quelque chose est inhabituel. Si vous trouvez des paramètres étranges, restaurez le mode d'origine pour résoudre le problème.