Do not speak Portuguese? Translate this site with Google or Bing Translator

Malware ChromeLoader ameaça navegadores em todo mundo

Uma nova onda do Malware ChromeLoader ameaça navegadores em todo mundo, pois modifica as configurações do navegador da vítima.

O malware ChromeLoader está vendo um aumento nas detecções este mês, após um volume relativamente estável desde o início do ano, fazendo com que o sequestro do navegador se torne uma ameaça generalizada.

Malware ChromeLoader ameaça navegadores em todo mundo

Malware ChromeLoader ameaça navegadores em todo mundo
Malware ChromeLoader ameaça navegadores em todo mundo

O ChromeLoader é um sequestrador de navegador que pode modificar as configurações do navegador da vítima para mostrar resultados de pesquisa que promovem software indesejado, brindes e pesquisas falsos, jogos para adultos e sites de namoro.

Os operadores do malware recebem ganhos financeiros por meio de um sistema de afiliação de marketing ao redirecionar o tráfego do usuário para sites de publicidade.

Existem muitos sequestradores desse tipo, mas o ChromeLoader se destaca por sua persistência, volume e rota de infecção, que envolve o uso agressivo do PowerShell.

De acordo com pesquisadores da Red Canary, que acompanham a atividade do ChromeLoader desde fevereiro deste ano, os operadores do sequestrador usam um arquivo ISO malicioso para infectar suas vítimas.

O ISO se disfarça como um executável crackeado para um jogo ou software comercial, então as vítimas provavelmente o baixam de sites de torrent ou maliciosos.

Os pesquisadores também notaram postagens no Twitter promovendo jogos Android crackeados e oferecendo códigos QR que levam a sites de hospedagem de malware.

Quando uma pessoa clica duas vezes no arquivo ISO no Windows 10 ou posterior, o arquivo ISO será montado como uma unidade de CD-ROM virtual. Este arquivo ISO contém um executável que finge ser um crack de jogo ou keygen, usando nomes como “CS_Installer.exe”.

Malware ChromeLoader ameaça a navegadores em todo mundo
Malware ChromeLoader ameaça a navegadores em todo mundo – Conteúdo do arquivo ISO (Canário Vermelho)

Por fim, o ChromeLoader executa e decodifica um comando do PowerShell que busca um arquivo de um recurso remoto e o carrega como uma extensão do Google Chrome.

Feito isso, o PowerShell removerá a tarefa agendada, deixando o Chrome infectado com uma extensão injetada silenciosamente que sequestra o navegador e manipula os resultados do mecanismo de pesquisa.

Malware ChromeLoader ameaça a navegadores em todo mundo
Malware ChromeLoader ameaça a navegadores em todo mundo – O PowerShell usado contra o Chrome no Windows (Red Canary)

Os operadores do ChromeLoader também têm como alvo os sistemas macOS, procurando manipular os navegadores Chrome e Safari da Apple.

A cadeia de infecção no macOS é semelhante, mas em vez de ISO, os agentes de ameaças usam arquivos DMG (Apple Disk Image), um formato mais comum nesse sistema operacional.

Além disso, em vez do executável do instalador, a variante do macOS usa um script bash do instalador que baixa e descompacta a extensão ChromeLoader no diretório “private/var/tmp”.

Script Bash usado no macOS
Malware ChromeLoader ameaça a navegadores em todo mundo – Script Bash usado no macOS (Red Canary)

“Para manter a persistência, a variação do ChromeLoader para macOS anexará um arquivo de preferência (`plist`) ao diretório `/Library/LaunchAgents`”, explica o relatório da Red Canary.

“Isso garante que toda vez que um usuário fizer login em uma sessão gráfica, o script Bash do ChromeLoader possa ser executado continuamente.”

Para obter instruções sobre como verificar quais extensões são executadas em seu navegador da Web e como gerenciá-las, restringi-las ou removê-las, confira este guia para Chrome ou este para Safari.

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.

Deixe um comentário

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.