ChromeLoader マルウェア検出

[post-views]
5月 27, 2022 · 6 分で読めます
ChromeLoader マルウェア検出

セキュリティアナリストは、ChromeLoader活動の再活性化について報告しています。ChromeLoaderと名付けられたブラウザハイジャッカーは、2022年1月からトラブルを引き起こしており、WindowsおよびmacOSユーザーに影響を与えており、Safari Webブラウザも含まれます。マルウェアのオペレーターは、ISOファイルを通じて、通常はゲームの海賊版ソフトウェアを提供すると偽って広めますが、実際にユーザーが得るのは、こっそり忍び込むブラウザ拡張機能です。いったんブラウザが侵害されると、ユーザーが検索エンジンから得た結果は信用できません。これから、被害者は偽の「確実な宝くじ」、ソフトウェアおよび出会い系プラットフォームのプロモーションキャンペーン、成人向けコンテンツなど、望ましくないマーケティングスキームにさらされやすくなります。

ChromeLoader活動の背後にいる敵は、マーケティングアフィリエイトの仕組みから利益を得ており、ターゲットのトラフィックを前述の望ましくないコンテンツを提供するウェブサイトにリダイレクトしています。

ChromeLoaderマルウェアを検出する

効果的なChromeLoaderマルウェアの検出は、 Sigmaルール を使用して行います。これはSOC Prime Threat Bounty Programの才能あるメンバー、 Sohan Gによって開発され、WindowsおよびmacOSの両方で関連する疑わしい活動をタイムリーに追跡します:

PowerShellを使用した拡張機能のロードによる疑わしいChromeLoaderの実行(cmdline経由)
shまたはbashを使用した拡張機能のロードによる疑わしいChromeLoaderの実行(cmdline経由)

これらの検出は最新のMITRE ATT&CK®フレームワークv.10に整合し、Executionタクティックをコマンドとスクリプトインタープリター(T1059; T1059.004; T1059.001)を主要技術としてカバーする23のSIEM、EDR & XDRプラットフォームで利用可能です。

敵に対して優位に立てるよう、慎重に作成された検出コンテンツを手に入れましょう。最新の脅威に対応する新しい検出アルゴリズムを発見するために 検出を表示 ボタンを押してください。新しい検出コンテンツの開発と既存の検出コンテンツの強化に経験豊富な脅威ハンターは、Threat Bounty Programにとって大きな資産となります。業界の先駆者からの支援を得て、入力に対し繰り返し報酬を獲得してください。SOC Primeを用いて脅威ハンティングを最大限に活用してください!

検出を表示 Threat Bountyに参加する

ChromeLoaderマルウェア分析

ChromeLoaderマルウェアの配布の始まりは 2022年1月. Red Canary and G-Data がこの問題を研究し、貴重な洞察を共有しています。興味深いことに、G-DataのアナリストはこのマルウェアをChoziosiローダーと呼ぶことを選びました。彼らの調査によると、ChromeLoaderはソーシャルメディアプラットフォームで実行されているマルバタイジングキャンペーンを通じて配布されています。通常、無料で提供されていると偽装されたゲーム、映画、またはプログラムを模倣し、脅威行為者は武器化されたISOアーカイブファイルを配布します。たとえば、Twitterでは、敵対者がスキャン可能なQRコードを含むミームを広め、ChromeLoaderをホスティングするサイトに誘導しています。

ユーザーがダウンロードした悪意のあるISOファイルをダブルクリックすると、パンドラの箱が開かれます。被害者が取得する実行ファイルは、Chrome拡張機能を取得するためにPowerShellコマンドを利用し、その後ブラウザから見えないところで吸い取ります。被害者はまた、コンプロミスされた環境でのマルウェアの持続性を維持する役割を果たすWindows Task Scheduler用の.NETラッパーも手に入れることになります。ChromeLoaderはブラウザハイジャッカーであり、犠牲者のブラウザの検索クエリをGoogle、Yahoo、およびBingに対して変更するように設計されています。検索エンジンは今、トラフィックを望ましくない広告サイトにリダイレクトします。

ハッカーによる被害を防ぎ、会社のセキュリティエコシステムを強化するための実績あるアプローチをお探しなら、 SOC Primeによって提供されるソリューションを選択してください。私たちの実績ある検出ソリューションで、より良いタイムリーな検出を実現し、SOCオペレーションの効率を向上させましょう。

目次

この記事は役に立ちましたか?

いいねと共有をお願いします。
SOCプライムのDetection as Codeプラットフォームに参加してください ビジネスに最も関連する脅威の可視性を向上させるために。開始をお手伝いし、即時の価値を提供するために、今すぐSOCプライムの専門家とミーティングを予約してください。
無料で参加 ミーティングを予約