Изследователи от RedCanary са забелязали нарастване на активността на ChromeLoader от началото на годината. Този злонамерен софтуер може напълно да завладее вашия браузър, манипулирайки резултатите от търсенето в опит да ви накара да щракнете из мрежа от сенчести злонамерени сайтове и потенциално да открадне вашите потребителски данни.
Този неприятен зловреден софтуер е това, което се нарича похитител на браузър. Той променя настройките на браузъра на потребителя, за да показва резултати от търсенето и реклами за фалшиви сайтове, анкети и дори игри за възрастни както на компютри с Windows, така и на системи с macOS. Въпреки че се нарича ChromeLoader, той засяга Apple Safari в допълнение към Google Chromе.
Според изследването на RedCanary начинът, по който ChromeLoader прониква в повечето системи, е чрез злонамерен ISO архивен файл, маскиран като кракнат изпълним файл за компютърна игра или търговски софтуер и разпространяван чрез торент сайтове. Освен това е установено, че QR кодовете в публикации в Twitter, популяризиращи кракнати игри за Android, съдържат връзки към сайтове за разпространение на ChromeLoader.
В повечето случаи, след като бъде заразен с подобен тип вирус, потребителят бива пренасочен към поредица от измамни сайтове, които обикновено са част от партньорска мрежа. Всяко посещение на тези сайтове насочва приходите към създателя на зловредния софтуер. ChromeLoader прави това и дори още вреди.
RedCanary казва, че „ChromeLoader използва PowerShell, за да се инжектира в браузъра и да добави злонамерено разширение към него: техника, която не виждаме много често, и такава, която често остава незабелязана от други инструменти за сигурност“.
RedCanary продължава да очертава най-лошия сценарий за този вид зловреден софтуер:
„Ако се приложи към заплаха с по-голямо въздействие – като събиране на идентификационни данни или шпионски софтуер, – това поведение на PowerShell може да помогне на зловредния софтуер да придобие първоначална опора и да остане неоткрит, преди да се представи по-открито злонамерена дейност, като ексфилтриране на данни от сесиите на браузъра на потребителя.“
На Macs ChromeLoader има подобен начин на действие, при който, след като щракнете двукратно върху DMG файла, неговият инсталационен скрипт поема и лошото разширение на браузъра започва да върши своето.
Най-добрият съвет, който можем да дадем, е, че ако често посещавате торент сайтове, внимавайте, когато щраквате върху връзки и не отваряйте изпълними файлове, които не разпознавате. И ако видите реклама за кракната версия на Cyberpunk 2070, просто не щракайте върху нея.
Снимка: Unsplash
Виж още: Антивирусните приложения всъщност могат да ви следят