Détection de Malware ChromeLoader

Les analystes en sécurité signalent une recrudescence de l’activité de ChromeLoader. Un pirate de navigateur appelé ChromeLoader cause des problèmes depuis janvier 2022, affectant les utilisateurs de Windows et macOS, y compris les navigateurs web Safari. Les opérateurs de logiciels malveillants le diffusent via des fichiers ISO prétendant offrir des logiciels piratés, généralement des jeux. Ce que l’utilisateur obtient en réalité est une extension de navigateur furtive. Une fois le navigateur compromis, les résultats que l’utilisateur obtient des moteurs de recherche ne sont pas dignes de confiance. Dorénavant, la victime est susceptible à des schémas marketing indésirables, tels que des faux « loteries garanties », des campagnes de promotion de logiciels et de plateformes de rencontres, et du contenu pour adultes.

Les adversaires derrière l’activité de ChromeLoader profitent d’un système d’affiliation marketing, redirigeant le trafic de leurs cibles vers les sites qui offrent le contenu non sollicité mentionné ci-dessus.

Détecter le malware ChromeLoader

Pour une détection efficace du malware ChromeLoader, utilisez les règles Sigma ci-dessous développées par le membre talentueux du Programme de récompenses de menaces de SOC Prime, Sohan G, pour suivre en temps opportun une activité suspecte pertinente sur Windows et macOS :

Exécution suspecte de ChromeLoader par le chargement d’une extension avec PowerShell (via cmdline)
Exécution suspecte de ChromeLoader par le chargement d’une extension avec sh ou bash (via cmdline)

Les détections sont disponibles pour les 23 plateformes SIEM, EDR et XDR, alignées avec le dernier cadre MITRE ATT&CK® v.10, abordant la tactique d’Exécution avec l’interpréteur de commandes et de scripts (T1059; T1059.004; T1059.001) comme technique principale.

Prenez l’avantage sur les adversaires avec un contenu de détection soigneusement élaboré. Cliquez sur le bouton Voir les détections pour découvrir de nouveaux algorithmes de détection répondant aux menaces les plus récentes. Les chasseurs de menaces expérimentés dans le développement de nouveaux contenus de détection ou l’amélioration des contenus existants seront un atout précieux pour le Programme de récompenses de menaces. Essayez-le vous-même pour obtenir le soutien des visionnaires de l’industrie et recevez des récompenses récurrentes pour votre contribution. Obtenez le meilleur de la chasse aux menaces avec SOC Prime !

Voir les détections Rejoindre le Threat Bounty

Analyse du malware ChromeLoader

Le début de la distribution du malware ChromeLoader a été détecté en janvier 2022. Red Canary and G-Data ont étudié le problème, partageant leurs précieuses analyses. Fait intéressant, les analystes de G-Data ont choisi de se référer à cette pièce de malware comme un chargeur Choziosi. Selon leurs découvertes, ChromeLoader est distribué via une campagne de malvertising menée sur les plateformes de médias sociaux. Imitant généralement un jeu, un film ou un programme qui a été piraté et est maintenant disponible gratuitement, les acteurs de la menace propagent un fichier d’archive ISO armé. Sur Twitter, par exemple, les adversaires diffusent des mèmes avec des codes QR scannables qui mènent à un site hébergeant ChromeLoader.

Une fois que l’utilisateur double-clique sur le fichier ISO malveillant téléchargé, la boîte de Pandore est ouverte. L’exécutable que la victime obtient utilise une commande PowerShell pour récupérer une extension Chrome qui s’appropriera furtivement le navigateur par la suite. La victime obtient également un wrapper .NET pour le Planificateur de tâches de Windows responsable du maintien de la persistance du malware dans l’environnement compromis. ChromeLoader est un pirate de navigateur conçu pour modifier les paramètres du navigateur, de sorte que les requêtes de recherche du navigateur de la victime sur Google, Yahoo et Bing soient altérées. Les moteurs de recherche redirigent désormais le trafic vers des sites publicitaires non sollicités.

Si vous recherchez des approches éprouvées pour repousser les dommages causés par les pirates et augmenter l’écosystème de sécurité de votre entreprise, optez pour les solutions proposées par les leaders de la sécurité chez SOC Prime. Améliorez la détection de manière plus efficiente et augmentez l’efficacité de vos opérations SOC avec nos solutions de détection éprouvées.