Ai grijă pe ce dai click: cel mai nou malware afectează browser-ele

de: Andrei Tilimpea
13 06. 2022

Cercetătorii de la RedCanary au observat o creștere a activității ChromeLoader de la începutul anului.

Acest malware poate prelua controlul complet al browser-ul tău, manipulând rezultatele căutării pentru a te face să dai clic pe site-uri rău intenționate și, eventual, să îți fure datele personale.

Acest malware urât este ceea ce se numește un browser hijacker. Schimbă setările browserului unui utilizator pentru a afișa rezultatele căutării și reclame pentru site-uri false, sondaje și chiar jocuri pentru adulți atât pe computerele Windows, cât și pe sistemele macOS. În ciuda faptului că este numit ChromeLoader, acesta afectează Apple Safari pe lângă Google Chrome.

Conform cercetărilor RedCanary, modul în care ChromeLoader se infiltrează în majoritatea sistemelor este prin intermediul unui fișier de arhivă ISO deghizat ca un executabil spart pentru un joc de calculator sau software comercial și distribuit prin site-uri torrent. În plus, s-a descoperit că și codurile QR din postările de pe Twitter care promovează jocuri Android sparte conțin link-uri către site-uri de distribuție ChromeLoader.

În cele mai multe cazuri, după ce a fost infectat cu un browser hijacker, utilizatorul este redirecționat către o serie de site-uri care fac de obicei parte dintr-o rețea afiliată. Fiecare vizită la aceste site-uri direcționează venituri către creatorul malware-ului. ChromeLoader face asta și multe altele.

Un malware periculos

RedCanary spune că „ChromeLoader folosește PowerShell pentru a se injecta în browser și pentru a-i adăuga o extensie rău intenționată, o tehnică pe care nu o vedem foarte des (și una care adesea nu este detectată de alte instrumente de securitate).”

RedCanary continuă să schițeze cel mai rău scenariu pentru acest tip de malware: „Dacă este aplicat unei amenințări cu impact mai mare, cum ar fi un colector de acreditări sau un program spion, acest comportament PowerShell ar putea ajuta malware-ul să capete o poziție inițială și să rămână nedetectat înainte de a începe o activitate rău intenționată, cum ar fi exfiltrarea datelor din sesiunile de browser ale unui utilizator.”

Pe Mac, ChromeLoader are un mod de operare similar în care odată ce dai dublu clic pe fișierul DMG, scriptul de instalare preia și extensia de browser, care începe să-și facă treaba.

Cel mai bun sfat pe care îl putem oferi este că, dacă frecventezi site-uri torrent, ai un nivel suplimentar de precauție atunci când dai clic pe orice link și nu deschide niciun fișier executabil pe care nu îl recunoști.

Și dacă vedeți o reclamă pentru o versiune „spartă” a Cyberpunk 2077, pur și simplu nu da clic pe ea.