Detecção de Malware ChromeLoader
Índice:
Analistas de segurança relatam um ressurgimento na atividade do ChromeLoader. Um sequestrador de navegador chamado ChromeLoader tem causado problemas desde janeiro de 2022, afetando usuários de Windows e macOS, incluindo navegadores web Safari. Os operadores de malware o disseminam via arquivos ISO que alegam oferecer software pirata, geralmente jogos. O que o usuário realmente obtém é uma extensão de navegador furtiva. Uma vez que o navegador é comprometido, os resultados que o usuário obtém dos motores de busca não são confiáveis. A partir de agora, a vítima está suscetível a esquemas de marketing indesejados, como “loterias garantidas”, promoções de plataformas de software e encontros, e conteúdo adulto.
Os adversários por trás da atividade ChromeLoader lucram com um sistema de afiliação de marketing, redirecionando o tráfego de seus alvos para os sites que oferecem o conteúdo não solicitado mencionado acima.
Detectar Malware ChromeLoader
Para uma detecção eficiente do malware ChromeLoader, use as regras Sigma abaixo desenvolvidas pelo talentoso membro do SOC Prime Threat Bounty Program, Sohan G, para rastrear em tempo hábil uma atividade suspeita relevante em ambos Windows e macOS:
Execução Suspeita do ChromeLoader por Carregamento de Extensão com PowerShell (via linha de comando)
Execução Suspeita do ChromeLoader por Carregamento de Extensão com sh ou bash (via linha de comando)
As detecções estão disponíveis para as 23 plataformas SIEM, EDR & XDR, alinhadas com a estrutura mais recente MITRE ATT&CK® v.10, abordando a tática de Execução com Comando e Interpretador de Scripts (T1059; T1059.004; T1059.001) como técnica principal.
Ganhe vantagem sobre os adversários com conteúdo de detecção minuciosamente elaborado. Clique no Ver Detecções botão para descobrir novos algoritmos de detecção que abordam as ameaças mais recentes. Caçadores de ameaças qualificados, experientes no desenvolvimento de conteúdo de detecção novo e na melhoria de conteúdos existentes, seriam um grande ativo para o Threat Bounty Program. Experimente você mesmo para obter suporte dos visionários do setor e obtenha recompensas recorrentes por sua contribuição. Tire o máximo proveito da caça a ameaças com a SOC Prime!
Ver Detecções Junte-se ao Threat Bounty
Análise de Malware ChromeLoader
O início da distribuição do malware ChromeLoader foi detectado em janeiro de 2022. Red Canary and G-Data vêm pesquisando o problema, compartilhando suas valiosas percepções. Curiosamente, analistas da G-Data optaram por se referir a este pedaço de malware como um Choziosi loader. De acordo com suas descobertas, o ChromeLoader é distribuído por meio de uma campanha de malvertising executada em plataformas de mídia social. Normalmente imitando um jogo, filme ou programa que foi crackeado e agora está disponível gratuitamente, os atores de ameaças espalham um arquivo ISO armado. No Twitter, por exemplo, os adversários espalham memes com códigos QR escaneáveis que levam a um site hospedando ChromeLoader.
Uma vez que o usuário clica duas vezes no arquivo ISO malicioso baixado, a caixa de Pandora é aberta. O executável que a vítima obtém utiliza um comando PowerShell para buscar uma extensão do Chrome que mais tarde suga o navegador sem ser detectado. A vítima também recebe um wrapper .NET para o Agendador de Tarefas do Windows, que é responsável por manter a persistência do malware no ambiente comprometido. O ChromeLoader é um sequestrador de navegador projetado para alterar as configurações do navegador, de modo que as consultas de busca do navegador da vítima para Google, Yahoo e Bing sejam alteradas. Motores de busca agora redirecionam o tráfego para sites de publicidade não solicitada.
Se você está procurando por abordagens testadas pelo tempo para evitar danos causados por hackers e aumentar o ecossistema de segurança da sua empresa, opte por soluções oferecidas por líderes de segurança na SOC Prime. Promova uma detecção melhor e mais oportuna e aumente a eficiência de suas operações SOC com nossas soluções de detecção comprovadas.