Rilevamento Malware ChromeLoader
Indice:
Gli analisti di sicurezza riportano una rinascita nell’attività di ChromeLoader. Un hijacker del browser chiamato ChromeLoader causa problemi da gennaio 2022, colpendo utenti di Windows e macOS, inclusi i browser Safari. Gli operatori del malware lo diffondono tramite file ISO che affermano di offrire software piratato, solitamente giochi. Quello che l’utente riceve in realtà è un’estensione del browser furtiva. Una volta compromesso il browser, i risultati che l’utente ottiene dai motori di ricerca non sono affidabili. D’ora in poi, la vittima è suscettibile a schemi di marketing indesiderati, come falsi “fantastici concorsi”, campagne promozionali di software e piattaforme di incontri, e contenuto per adulti.
Gli avversari dietro l’attività di ChromeLoader traggono profitto da un sistema di affiliazione di marketing, reindirizzando il traffico del loro obiettivo ai siti web che offrono i contenuti non richiesti menzionati sopra.
Rileva il Malware ChromeLoader
Per un’efficace rilevazione del malware ChromeLoader, utilizza le regole Sigma qui sotto sviluppate dal talentuoso membro del SOC Prime Threat Bounty Program, Sohan G, per tracciare tempestivamente un’attività sospetta rilevante sia su Windows che su macOS:
Esecuzione sospetta di ChromeLoader tramite il caricamento dell’estensione con PowerShell (via cmdline)
Esecuzione sospetta di ChromeLoader tramite il caricamento dell’estensione con sh o bash (via cmdline)
Le rilevazioni sono disponibili per le 23 piattaforme SIEM, EDR & XDR, allineate con l’ultimo framework MITRE ATT&CK® v.10, affrontando la tattica di Esecuzione con Command and Scripting Interpreter (T1059; T1059.004; T1059.001) come tecnica principale.
Ottieni un vantaggio sugli avversari con contenuti di rilevamento accuratamente realizzati. Premi il Visualizza Rilevazioni pulsante per scoprire nuovi algoritmi di rilevamento che affrontano le minacce più recenti. I cacciatori di minacce esperti nello sviluppo di nuovi contenuti di rilevamento e nel miglioramento di quelli esistenti sarebbero un ottimo aggiunto al Threat Bounty Program. Prova tu stesso per ricevere supporto dai visionari del settore e ricevere ricompense ricorrenti per il tuo contributo. Sfrutta al massimo la caccia alle minacce con SOC Prime!
Visualizza Rilevazioni Unisciti al Threat Bounty
Analisi del Malware ChromeLoader
L’inizio della distribuzione del malware ChromeLoader è stato rilevato in gennaio 2022. Red Canary and G-Data hanno esaminato il problema, condividendo i loro preziosi approfondimenti. Interessante, gli analisti di G-Data hanno scelto di riferirsi a questo pezzo di malware come Choziosi loader. Secondo i loro risultati, ChromeLoader è distribuito tramite una campagna di malvertising su piattaforme di social media. Solitamente imitando un gioco, film o programma craccato e ora disponibile gratuitamente, gli attori della minaccia diffondono un file di archivio ISO armato. Su Twitter, ad esempio, gli avversari diffondono meme con codici QR scansionabili che conducono a un sito che ospita ChromeLoader.
Una volta che l’utente fa doppio clic sul file ISO malevolo scaricato, si apre il vaso di Pandora. L’eseguibile che la vittima riceve utilizza un comando PowerShell per ottenere un’estensione Chrome che in seguito si aggancia al browser non rilevata. La vittima riceve anche un wrapper .NET per il Task Scheduler di Windows che è responsabile del mantenimento della persistenza del malware nell’ambiente compromesso. ChromeLoader è un hijacker del browser progettato per modificare le impostazioni del browser, in modo che le ricerche della vittima su Google, Yahoo e Bing vengano alterate. I motori di ricerca ora reindirizzano il traffico verso siti di pubblicità non richiesta.
Se stai cercando approcci collaudati per difendersi dai danni causati dagli hacker e aumentare il tuo ecosistema di sicurezza aziendale, opta per le soluzioni offerte dai leader della sicurezza di SOC Prime. Migliora il rilevamento tempestivo e aumenta l’efficienza delle operazioni del tuo SOC con le nostre soluzioni di rilevamento collaudate.