ChromeLoader-Malware-Erkennung

[post-views]
Mai 27, 2022 · 3 min zu lesen
ChromeLoader-Malware-Erkennung

Sicherheitsanalysten berichten über eine Wiederbelebung der ChromeLoader-Aktivität. Ein Browser-Hijacker namens ChromeLoader bereitet seit Januar 2022 Probleme und betrifft Windows- und macOS-Nutzer, einschließlich Safari-Webbrowser. Die Malware-Operatoren verbreiten sie über ISO-Dateien, die angeblich raubkopierte Software, meist Spiele, anbieten. Was der Benutzer tatsächlich erhält, ist eine unauffällige Browser-Erweiterung. Sobald der Browser kompromittiert ist, sind die Ergebnisse, die der Benutzer von Suchmaschinen erhält, nicht mehr vertrauenswürdig. Von nun an ist das Opfer anfällig für unerwünschte Marketingstrategien, wie gefälschte „zweifelsfreie Lotterien“, Software- und Dating-Plattform-Werbekampagnen sowie Erwachseneninhalt.

Die Gegner hinter der ChromeLoader-Aktivität profitieren von einem System der Marketing-Affiliation, indem sie den Traffic ihrer Zielgruppe auf die oben genannten Websites mit unerwünschtem Inhalt umleiten.

ChromeLoader Malware erkennen

Für eine effiziente ChromeLoader-Malware-Erkennung verwenden Sie die Sigma-Regeln unten, die von dem talentierten Mitglied des SOC Prime Threat Bounty Program entwickelt wurden, Sohan G, um relevante verdächtige Aktivitäten innerhalb von Windows und macOS rechtzeitig zu verfolgen:

Verdächtige ChromeLoader-Ausführung durch Laden einer Erweiterung mit PowerShell (über cmdline)
Verdächtige ChromeLoader-Ausführung durch Laden einer Erweiterung mit sh oder bash (über cmdline)

Die Erkennungen sind für die 23 SIEM-, EDR- und XDR-Plattformen verfügbar, die mit dem neuesten MITRE ATT&CK®-Framework v.10 abgestimmt sind und die Ausführungstaktik mit Befehl und Skript-Interpreter (T1059; T1059.004; T1059.001) als primäre Technik adressieren.

Erhalten Sie einen Vorteil gegenüber Gegnern mit sorgfältig erstellten Erkennungsinhalten. Drücken Sie den Erkennungen anzeigen Button, um neue Erkennungsalgorithmen zu entdecken, die die neuesten Bedrohungen adressieren. Erfahrene Bedrohungs-Jäger, die Erfahrung mit der Entwicklung neuer und Verbesserung bestehender Erkennungsinhalte haben, wären eine große Bereicherung für das Threat Bounty Program. Probieren Sie es selbst aus, um Unterstützung von Branchenvisionären zu erhalten und wiederkehrende Belohnungen für Ihren Beitrag zu erzielen. Nutzen Sie das Beste aus dem Bedrohungs-Jagd mit SOC Prime!

Erkennungen anzeigen Am Threat Bounty teilnehmen

ChromeLoader Malware-Analyse

Der Beginn der Verteilung des ChromeLoader-Malware wurde im Januar 2022. Red Canary and G-Data haben das Problem untersucht und teilen ihre wertvollen Einblicke. Interessanterweise entschieden sich die Analysten von G-Data, dieses Malware-Stück als Choziosi-Loader zu bezeichnen. Ihren Erkenntnissen zufolge wird ChromeLoader über eine Malvertising-Kampagne verteilt, die über soziale Medien läuft. Sie ahmen normalerweise ein Spiel, einen Film oder ein Programm nach, das geknackt wurde und jetzt kostenlos verfügbar ist, und die Bedrohungsakteure verbreiten eine bewaffnete ISO-Archivdatei. Auf Twitter verbreiten Gegner zum Beispiel Memes mit scannbaren QR-Codes, die zu einer ChromeLoader-Hosting-Site führen.

Sobald der Benutzer die heruntergeladene schädliche ISO-Datei doppelklickt, ist die Büchse der Pandora geöffnet. Die ausführbare Datei, die das Opfer erhält, verwendet einen PowerShell-Befehl, um eine Chrome-Erweiterung abzurufen, die sich später unbemerkt vom Browser bedient. Das Opfer erhält auch eine .NET-Wrapper für den Windows Taskplaner, der dafür verantwortlich ist, die Malware-Persistenz in der kompromittierten Umgebung aufrechtzuerhalten. ChromeLoader ist ein Browser-Hijacker, der darauf ausgelegt ist, die Browsereinstellungen zu ändern, sodass die Suchanfragen des Opfers an Google, Yahoo und Bing verändert werden. Suchmaschinen leiten nun den Traffic auf unerwünschte Werbeseiten um.

Wenn Sie nach bewährten Ansätzen suchen, um Schäden durch Hacker zu vermeiden und das Sicherheitsökosystem Ihres Unternehmens zu erweitern, entscheiden Sie sich für die von Sicherheitsführern bei SOC Primeangebotenen Lösungen. Erzielen Sie bessere und rechtzeitige Erkennungen und steigern Sie die Effizienz Ihrer SOC-Operationen mit unseren bewährten Erkennungslösungen.

Inhaltsverzeichnis

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen