Detección de Malware ChromeLoader
Tabla de contenidos:
Los analistas de seguridad informan sobre un resurgimiento en la actividad de ChromeLoader. Un secuestrador de navegadores llamado ChromeLoader ha estado causando problemas desde enero de 2022, afectando a usuarios de Windows y macOS, incluidos los navegadores web Safari. Los operadores de malware lo propagan a través de archivos ISO que afirman ofrecer software pirateado, generalmente juegos. Lo que el usuario realmente obtiene es una extensión de navegador sigilosa. Una vez que el navegador está comprometido, los resultados que el usuario obtiene de los motores de búsqueda no son de fiar. A partir de ahora, la víctima es susceptible a esquemas de marketing no deseados, como falsos «concursos seguros», campañas de promoción de plataformas de software y citas, y contenido para adultos.
Los adversarios detrás de la actividad de ChromeLoader se benefician de un sistema de afiliación de marketing, redirigiendo el tráfico de su objetivo a los sitios web que ofrecen el contenido no solicitado mencionado anteriormente.
Detectar Malware ChromeLoader
Para una detección eficiente del malware ChromeLoader, use las reglas Sigma a continuación desarrolladas por el talentoso miembro del Programa de Recompensas de Amenazas de SOC Prime, Sohan G, para rastrear oportunamente una actividad sospechosa relevante tanto en Windows como en macOS:
Ejecución sospechosa de ChromeLoader cargando extensión con PowerShell (a través de cmdline)
Ejecución sospechosa de ChromeLoader cargando extensión con sh o bash (a través de cmdline)
Las detecciones están disponibles para las 23 plataformas SIEM, EDR y XDR, alineadas con el último marco MITRE ATT&CK® v.10, abordando la táctica de Ejecución con Intérprete de Comandos y Scripts (T1059; T1059.004; T1059.001) como técnica principal.
Obtén ventaja sobre los adversarios con contenido de detección meticulosamente elaborado. Pulsa el botón Ver Detecciones para descubrir nuevos algoritmos de detección que aborden las últimas amenazas. Cazadores de amenazas con experiencia en desarrollar nuevo contenido de detección y mejorar el existente serían un gran activo para el Programa de Recompensas de Amenazas. Pruébalo tú mismo para obtener apoyo de los visionarios de la industria y recibir recompensas recurrentes por tu aporte. ¡Aprovecha al máximo la cacería de amenazas con SOC Prime!
Ver Detecciones Únete a Threat Bounty
Análisis de Malware ChromeLoader
El inicio de la distribución del malware ChromeLoader fue detectado en enero de 2022. Red Canary and G-Data han estado investigando el problema, compartiendo sus valiosos conocimientos. Curiosamente, los analistas de G-Data optaron por referirse a esta pieza de malware como un cargador Choziosi. Según sus hallazgos, ChromeLoader se distribuye a través de una campaña de publicidad maliciosa ejecutada en plataformas de redes sociales. Usualmente imitando un juego, película o programa que fue crackeado y ahora está disponible de forma gratuita, los actores de amenazas difunden un archivo ISO armado. En Twitter, por ejemplo, los adversarios difunden memes con códigos QR escaneables que conducen a un sitio que aloja ChromeLoader.
Una vez que el usuario hace doble clic en el archivo ISO malicioso descargado, se abre la caja de Pandora. El ejecutable que la víctima obtiene utiliza un comando PowerShell para obtener una extensión de Chrome que posteriormente se aprovecha del navegador sin ser detectada. La víctima también obtiene un envoltorio .NET para el Programador de Tareas de Windows que es responsable de mantener la persistencia del malware en el entorno comprometido. ChromeLoader es un secuestrador de navegadores diseñado para modificar la configuración del navegador, de modo que las consultas de búsqueda del navegador de la víctima a Google, Yahoo y Bing sean alteradas. Ahora los motores de búsqueda redirigen el tráfico a sitios de publicidad no solicitada.
Si estás buscando enfoques probados para defenderte del daño causado por los hackers y aumentar el ecosistema de seguridad de tu empresa, opta por las soluciones ofrecidas por líderes de seguridad en SOC Prime. Mejora la detección y aumenta la eficiencia de tus operaciones SOC con nuestras soluciones de detección comprobadas.