Nel corso di maggio, è stato riscontrato una diffusione piuttosto elevata del malware ChromeLoader, che consente ai suoi operatori di effettuare operazioni di hijacking sul browser al fine di promuovere software indesiderati, aprire pagine dedicate a indagini e concorsi a premio, nonché giochi per adulti e siti di appuntamento fasulli. Tutto questo con lo scopo di guadagnare denaro tramite affiliazione. Tra i vari hijacker presenti sulla rete, ChromeLoader si distingue per la persistenza sui sistemi, per la sua diffusione e per le modalità di infezione che prevedono un utilizzo intensivo di PowerShell.
I ricercatodi di Red Canary stanno tracciando questo malware già da febbraio e hanno individuato il vettore d'attacco principale, ovvero un file di archivio in formato ISO utilizzato dai criminali informatici per infettare i sistemi delle vittime. Il file ISO era mimetizzato come un file eseguibile con crack, per giochi o software commerciali piratati, che veniva scaricato in autonomia dagli utenti tramite siti compromessi o contenenti liste di file torrent, con tanto di campagna promozionale su Twitter, dove venivano presentati giochi Android soggetti a crack e codici QR che indirizzavano gli utenti a siti pericolosi.
Una volta eseguito il file su Windows, con il mount dell'ISO come drive virtuale, l'utente trovava al suo interno un eseguibile, spacciato per crack o keygen, ovvero un programma che genera codici di licenza fasulli. Una volta eseguito il file, ChromeLoader entrava in esecuzione, decodificando un comando di PowerShell per il recupero di un archivio remoto, caricato sotto forma di estensione per Google Chrome. Al termine dell'operazione, non restava traccia dell'attività, solo l'estensione che, in modo discreto, dirottava Chrome sui siti di interesse degli operatori. Lo stesso, però, è stato riscontrato su macOS, dove i file compromessi erano di tipo DMG, con uno script bash in grado di scaricare e scompattare l'estensione ChromeLoader in una directory temporanea.
Per liberarsi della minaccia, sia Google che Apple hanno predisposto delle guide apposite, consultabili liberamente:
Come sempre, vi ricordiamo che scaricare materiali piratati è illegale, ma anche molto pericoloso, dato che vi esponete a seri rischi, non ultima alla possibilità di subire un attacco ransomware.
