Nilaa Maharjan, Logpoint Global Services & Security Research

Dette blogindlæg giver et overblik over den forskning, der er foretaget vedrørende en stigning i antallet af trusler – bl.a. malvertizers, nemlig Chromeloader. Blogindlægget ledsages af en Logpoint Emerging Threats Protection-rapport, der dækker detektionsmetoder, undersøgelsesplaybooks og anbefalede reaktioner og bedste praksis. Dette casestudie er dog ikke specifikt for Chrome eller den eneste variant, der er i omløb, Dette casestudie handler om en reel trussel, der er steget i løbet af de seneste uger.

Malwaren, der kaldes ChromeLoader, er en vedvarende browser-hijacker, der ændrer ofrenes browserindstillinger og omdirigerer trafikken til reklamewebsteder. Denne malware spredes ved hjælp af en ISO-fil, der udgiver sig for at være et cracket videospil, en piratfilm eller et TV-show for at narre folk til at åbne den. Den bliver i sidste ende til en browser-add-on.

Nyere angrebsvektorer er på vej frem – og forsøger at bevæge sig massivt væk fra systemafhængigheder. På grund af den udbredte markedsdominans og lempelige udvidelsespolitik er det nye mål Chrome.

ChromeLoader er en temmelig uskyldig browserudvidelse, der kaprer brugernes søgninger og sender trafik til et reklamewebsted, på samme måde som de fleste mistænkelige browserudvidelser. ChromeLoader er i daglig tale kendt som “malvertising”, og er stigende som en kampagne, der er en del af et større og udbredt økonomisk motiveret mønster. Angriberne antages at være en del af et bredere netværk af markedsføringstilknyttede selskaber, og  de omdirigerer brugeren til reklamewebsteder. Det, ChromeLoader gør anderledes end resten af de anonymiserende kampagner, er, at den indsætter sig selv ind i browseren og føjer en ondsindet udvidelse til den ved hjælp af PowerShell, som er en teknik, der ikke bruges særlig ofte, og derfor ofte ikke opdages af mange sikkerhedsværktøjer. ChromeLoader er mere en generende end en alvorlig trussel, og den kan virke som en helt almindelig browser-hijacker, men dens særegne brug af PowerShell kan skabe dybere problemer – siger Aedan Russell, sikkerhedsforsker hos Red Canary.

Angrebsscenarie

Malware-operatørerne bruger en ondsindet ISO-arkivfil til at invadere systemet på samme måde som en tidligere malware-loader, vi dækkede, Bumblebee. Det viser den stigende brug af loadere som angrebsvektor, især ISO. Filen annonceres som en cracket eksekverbar fil med kommerciel software eller et videospil, der giver ofre mulighed for at downloade den via ondsindede websteder eller torrents.

Desuden spreder malware-forfatterne også de inficerede eksekverbare filer via Twitter-meddelelser, hvilket er, hvordan det første angreb blev fundet.

Filen monteres som et virtuelt CD-ROM-drev, når en bruger dobbeltklikker på den i Windows 10 eller nyere systemer. Hovedkomponenten i denne ISO-fil, CS Installer.exe, maskeres som en keygen eller et crecket spil, men frigiver infektionen.

Det er her, den adskiller sig fra Bumblebee, og det, der gør ChromeLoader mere kraftfuld, efterhånden som den udvikler sig.

ChromeLoader kører/afkoder en PowerShell-kommando for at hente et arkiv fra fjernressourcen og installere det som en Chrome-udvidelse på systemet. Derefter sletter PowerShell den planlagte opgave og inficerer Chrome med en skjult plugin, der kaprer og manipulerer browserens resultater.

ChromeLoader-operatører sigter også mod macOS-systemer for at ændre Safari og Chrome, ifølge Red Canary-forskere. På macOS er infektionskæden identisk, men i stedet for ISO-filer anvender angribere DMG-filer (Apple Disk Image).

Med macOS bruges et installer bash script desuden til at downloade og dekomprimere malware-udvidelsen til det private/var/tmp-bibliotek i stedet for den eksekverbare fil, der indeholder installationsprogrammet.

Angrebsflow

Sådan fungerer det:

  1. På Twitter og andre sociale medieplatforme overføres falske filer, normalt som crackede “gratis” versioner af legitime applikationer. Nogle af de inficerede computere får virussen fra tvivlsomme websteder og/eller torrents.
  2. Nogle opslag på sociale medier bruger QR-koder til at promovere angiveligt crackede Android-spil, hvilket fører potentielle gamere til mistænkelige/phishing-websteder.
  3. ISO-filen monteres som en virtuel CD-ROM ved at dobbeltklikke på den.
    Den eksekverbare ISO lader som om, den er det indhold, offeret ledte efter.
  4. ChromeLoader bruger en PowerShell-kommando til at indlæse en Chrome-udvidelse fra en fjernressource.
    Den planlagte opgave fjernes efterfølgende af PowerShell, og offeret er uvidende om, at browseren er blevet hacket.
    På dette tidspunkt vil brugeren blive præsenteret for falske søgeresultater, som man ikke bør stole på, uanset hvilken side de befinder sig på.
  5. Dette angreb påvirker også brugere af Mac OS X.
    Angribere bruger DMG-filer (Apple Disk Image) i stedet for ISO-filer, som er et hyppigere format på dette operativsystem.

Grundlæggende for at undgå ChromeLoader

Det er farligt at søge efter crackede spil og software, både ud fra et privat og et organisatorisk synspunkt. Mange websteder, der promoverer malware, der er forklædt som “legitime” crack-websteder, er svære at identificere. Hvis du downloader en torrent, kan du lige så godt spille hasard med dine enheders digitale sundhed. Det er en god idé at tilføje ISO-filer til en liste over elementer, der ikke kan downloades i din organisation.

For det første fordi ChromeLoader distribueres som en ISO-fil, og for det andet er det usandsynligt, at dine medarbejdere skal håndtere ISO-filer på arbejdet.

Derfor er det en god idé at tilføje ISO-filer til din liste over elementer, der ikke kan downloades.

Hvis en medarbejder har brug for at downloade en ISO-fil fra internettet, skal vedkommende kontakte IT-teamet for at træffe de nødvendige foranstaltninger. Medarbejderne vil have mindre sandsynlighed for at få adgang til inficerede ISO-filer, hvis torrent sites som PirateBay er blokeret. Derfor anbefales det også at inkludere dette i filtre.

Og endelig kan du tilføje produkter som ChromeLoader, der udnytter, at den gennemsnitlige internetbruger er godtroende.

En Chrome-udvidelse er en gavnlig allieret for en almindelig person, ikke noget at være bange for.
Store rabatter på videospil og andre varer er ret typiske.
For at kontrollere, om en ukendt udvidelse er blevet downloadet og installeret, kan man individuelt:

  • Klikke på ikonet Mere i Chrome og derefter på Flere værktøjer -> Udvidelser.
    Du kan kontrollere, hvad der er installeret, hvad der er aktivt eller deaktiveret, og få flere oplysninger om alle de udvidelser, der er installeret derfra.
    Google anbefaler også nulstilling af browserindstillinger og andre oprydningsmetoder.

Denne type angreb kan undgås ved at holde din sikkerhedssoftware opdateret og køre regelmæssige scanninger. Før du bruger en downloadet fil, skal du altid scanne den. Husk, at du kan hente udvidelser overalt, ikke kun fra dårlige websteder eller ondsindede downloads.

På grund af de mere afslappede politikker i Chrome-webbutikken har der været tilfælde, hvor ondsindede udvidelser kunne downloades af offentligheden. Før du installerer en ny udvidelse til din browser, skal du altid kontrollere anmeldelser, udvikleroplysninger, tilladelser til udvidelser og alt andet, der er vigtigt.

ChromeLoader er et eksempel på, hvor hurtigt loader-baserede angreb er steget. Selvom en organisation tog Bumblebee alvorligt og oprettede alle de korrekte kontrolpunkter, har angrebene muteret med alarmerende hastighed. Som vi påpegede tidligere mangler de fleste SIEM- og XDR-løsninger allerede de nødvendige analyser på tværs af mange datakilder, er det virkelige problem, at de er afhængige af regelbaserede machine learning-modeller, der er faste og ikke er i stand til at tilpasse sig trusselaktørers forskellige teknikker og værktøjer. Dette gør det muligt for angribere nemt at levere ondsindede nyttelaster, når de har fået den første adgang til netværket, oftest via et phishing-angreb.

Vi har oprettet en liste over alarmer, der kan downloades via downloadsiden. Logpoints Security Research- og Global Services-teams har udarbejdet en rapport med detaljerede oplysninger om metoderne og udviklingen af ChromeLoader, bedste sikkerhedspraksis, og hvordan man opdager, undersøger og reagerer ved hjælp af Logpoint.

ET Chrome loader blog visual (1)

Yderligere oplysninger:

Download rapporten

Yderligere oplysninger:

DOWNLOAD RAPPORTEN GRATIS