Posté le mai 29, 2022 à 13:14
DES CHERCHEURS EN SÉCURITÉ DECOUVRENT UN LOGICIEL MALVEILLANT CHROMELOADER CIBLANT LES UTILISATEURS DE CHROME
Les chercheurs ont également mis en garde les personnes à la recherche de logiciels ou de jeux piratés. En effet, les fichiers d’archives ISO malveillants ont augmenté leur capacité à infecter les systèmes avec ChromeLoader.
Le logiciel malveillant ChromeLeader a été détecté plusieurs fois ce mois-ci, après une période relativement calme pour ce logiciel depuis le début de l’année. Par le passé, la plupart des détections et des attaques de ce logiciel malveillant concernaient généralement des ordinateurs Windows. Mais cela a changé. Désormais, l’attaque est bien équipée et mise à jour pour attaquer plusieurs systèmes d’exploitation, et lance parfois des attaques sur les mobiles afin de faire plus de victimes.
Le logiciel malveillant ChromeLoader menace les systèmes d’exploitation
ChromeLoader est un pirate de navigateur lancé par des acteurs de menaces pour modifier les paramètres Web de la cible et afficher des résultats de recherche tels que des sites de rencontres et des jeux pour adultes, de faux cadeaux et des logiciels indésirables. L’opérateur du logiciel malveillant gagne de l’argent en redirigeant le trafic des utilisateurs vers des sites publicitaires.
Plusieurs logiciels de piratage fonctionnent comme ChromeLoader, mais ce logiciel malveillant se distingue par sa voie d’infection, son volume et sa persistance. Les développeurs et les opérateurs du logiciel malveillant utilisent PowerShell de manière agressive.
Les chercheurs de Red Canary ont déclaré que les opérateurs du logiciel malveillant utilisent des fichiers d’archive ISO malveillants pour lancer des attaques sur leurs cibles. Les chercheurs surveillent les activités de ChromeLoader depuis février de cette année.
L’ISO se camoufle sous la forme d’un exécutable craqué pour le logiciel commercial d’un jeu, afin que les victimes soient plus susceptibles de le télécharger elles-mêmes à partir de sites malveillants ou de torrents. Les hackers ciblent généralement les joueurs ou les personnes les plus susceptibles de télécharger le logiciel malveillant.
En outre, les chercheurs en sécurité ont déclaré avoir découvert des messages Twitter faisant la promotion de jeux Android piratés et proposant des codes QR menant à des sites d’hébergement de logiciels malveillants.
Lorsqu’un utilisateur double-clique sur le fichier ISO de Windows 10 ou d’une version ultérieure, il est représenté comme un lecteur de CD-ROM virtuel. Le fichier ISO contient un code exécutable qui se fait passer pour un keygen ou un crack de jeu, en utilisant des noms comme « CS_Installer.exe ». En outre, le logiciel malveillant ChromeLoader est capable d’exécuter et de décoder une commande PowerShell qui se transforme en une archive provenant d’une ressource distante, en la chargeant comme une extension Google Chrome.
Lorsqu’elle est terminée, le PowerShell supprime la tâche planifiée, ce qui laisse Chrome infecté par une extension injectée silencieusement. Celle-ci prend le contrôle du navigateur et manipule le résultat du moteur de recherche.
Le logiciel malveillant ChromeLoader cible également les systèmes macOS
Les acteurs de la menace et les opérateurs de ChromeLoader ciblent également les systèmes macOS, car ils cherchent à manipuler les navigateurs Web Safari d’Apple et de Chrome.
La chaîne d’infection de macOS suit également un schéma similaire pour les autres systèmes. Toutefois, au lieu des fichiers ISO, les hackers utilisent des fichiers DMG (Apple Disk Image), qui sont plus courants pour les systèmes macOS.
En outre, la variante macOS utilise un script d’installation bash, au lieu de l’exécutable d’installation. Ici, le script bash est utilisé pour télécharger et décompresser l’extension ChromeLoader dans le répertoire « private/var/tmp ».
Selon les chercheurs de Red Canary, la variante macOS de ChromeLoader ajoute un fichier de préférences (Plist) au répertoire /Library/LaunchAgents afin de maintenir sa persistance et de rester caché pendant longtemps.
Cela signifie que chaque fois qu’un utilisateur se connecte à une session graphique, le script Bash de ChromeLoader s’exécute en continu. Cette méthode a été utilisée pour que le logiciel malveillant reste caché et à l’abri des logiciels de sécurité, tout en fonctionnant de manière souterraine et en infectant davantage de fichiers.
Comment ChromeLoader infecte les systèmes ?
Les chercheurs ont expliqué que le logiciel malveillant ChromeLoader a un débit de diffusion très faible et précis. Ils ont noté que les fichiers corrompus sont annoncés sur les services de médias sociaux, tandis que certaines victimes les téléchargent à partir de sites malveillants ou de torrents. Dans certains cas, certains messages sur les médias sociaux font la promotion de jeux Android craqués.
Le logiciel malveillant ChromeLoader peut utiliser la commande PowerShell pour charger une extension Chrome, car PowerShell supprime les tâches planifiées, laissant le système ciblé infecté. Une fois le navigateur compromis, les moteurs de recherche peuvent afficher de fausses entrées aux utilisateurs, Windows et macOS étant plus vulnérables.
Toutefois, les chercheurs ont recommandé des moyens pour les utilisateurs de protéger leurs systèmes contre les logiciels malveillants. La première chose à faire est d’attendre les mises à jour centrées sur le produit et d’éviter les logiciels piratés. Les utilisateurs qui remarquent un logiciel inconnu sur leurs extensions Chrome sont invités à appliquer immédiatement des procédures de nettoyage.
En outre, ils doivent se méfier lorsqu’ils installent une nouvelle extension sur leur navigateur, tout en s’assurant que leurs systèmes sont régulièrement mis à jour. D’une manière générale, il a été conseillé aux utilisateurs de suivre les protocoles de sécurité de base afin de limiter le niveau d’exposition aux logiciels malveillants.
