Nilaa Maharjan, Logpoint Global Services & Security Research

Detta blogginlägg ger en översikt över forskningen kring den ökade spridningen av s.k. malvertisers – specifikt ChromeLoader. Efter blogginlägget finns en länk till Logpoints rapport ”Emerging Threats Protection” som täcker identifieringsmetoder, playbooks för undersökning samt rekommenderade åtgärder och bästa praxis. Denna fallstudie är dock inte specifik för Chrome, eller den enda varianten som sprids och är ett verkligt hot som har ökat de senaste veckorna.

Den skadliga programvaran ChromeLoader är en persistent webbläsarkapare som ändrar offrens webbläsarinställningar och styr om trafiken till annonssajter. Denna skadliga programvara sprids med hjälp av en ISO-fil (ISO-avbildning) som till synes innehåller ett piratkopierat datorspel, en piratkopierad film eller TV-serie för att locka människor att öppna den. Den skadliga programvaran tar så småningom formen av ett tillägg eller insticksprogram för webbläsare.

Nyare attackvektorer är på uppgång – där angriparna försöker att undvika alla systemberoenden. På grund av dess marknadsdominans och relativt generösa policy för tillägg har Chrome blivit den senaste måltavlan.

ChromeLoader är ett till synes relativt ofarligt webbläsartillägg som kapar användarens sökningar och styr om trafiken till en annonssajt, likt de flesta misstänkta webbläsartillägg. Inom IT-säkerhetsbranschen kallas detta ”malvertising” dvs. annonser med skadligt innehåll – där ChromeLoader ständigt växer och ingår i ett större och utbrett ekonomiskt motiverat mönster. Angriparna antas vara en del av ett större nätverk av webbannonsörer och omdirigerar användaren till annonswebbplatser. Det som skiljer ChromeLoader från andra malvertisingkampanjer är att det injicerar sig själv i webbläsaren och lägger till ett skadligt webbläsartillägg via PowerShell, en ganska ovanlig teknik och därför ofta inte detekteras av många säkerhetsverktyg. ChromeLoader kan verka vara en typisk webbläsarkapare och mer av ett irritationsmoment än ett allvarligt hot, men dess egendomliga användning av PowerShell kan tyda på allvarligare hot i framtiden – säger Aedan Russell, säkerhetsforskare på Red Canary.

Attackscenario

Operatörerna av den skadliga koden använder en ISO-fil för att invadera systemet på liknande sätt som föregående malware-loader som vi täckte, dvs. Bumblebee. Detta visar den ökade användningen av loaders som attackvektor, i synnerhet ISO-avbildningar. Denna fil annonseras som en crackad exekverbar fil för kommersiell programvara eller ett datorspel och låter offren ladda ner den via skadliga webbplatser eller torrents.

Dessutom sprider skaparna av den skadliga koden den infekterade exekverbara filen via Twitter-meddelanden, vilket är hur den första attacken upptäcktes i det fria.

Filen monteras som en virtuell CD-ROM-enhet när användaren dubbelklickar på den i Windows 10 eller senare system. Huvudkomponenten i denna ISO-fil är CS Installer.exe som är maskerad som en kodgenerator eller ett crack för ett spel, men sprider istället infektionen.

Det är här som det tar en annan väg än Bumblebee och det som gör ChromeLoader mer potent i takt med att koden utvecklas.

ChromeLoader kör/avkodar ett PowerShell-kommando för att hämta en fil från fjärresursen och installerar den som ett Chrome-tillägg på systemet. Därefter raderar PowerShell den schemalagda uppgiften och infekterar Chrome med ett dolt tillägg som kapar och manipulerar webbläsarens resultat.

Operatörerna av ChromeLoader har även riktat in sig på macOS-system för att modifiera Safari och Chrome, enligt forskarna på Red Canary. På macOS är infektionskedjan identisk, men istället för ISO-filer använder angriparna DMG-filer (Apple Disk Image).

På macOS används dessutom ett bash-installationsskript för att ladda ner och dekomprimera det skadliga tillägget till katalogen private/var/tmp istället för den exekverbara filen som innehåller installationsprogrammet.

Attackflöde

Så här fungerar det:

  1. På Twitter och andra sociala medier sprids förfalskade filer, vanligtvis som crackade ”gratis” versioner av legitima applikationer. Vissa infekterade datorer får viruset från skumma webbplatser och/eller torrents.
  2. Vissa inlägg i sociala medier använder QR-koder för att marknadsföra påstått crackade Android-spel, vilket leder potentiella gamers till suspekta webbplatser eller nätfiskewebbplatser.
  3. ISO-filen monteras som en virtuell CD-ROM genom att dubbelklicka på den.
    Den exekverbara filen på ISO-avbildningen utger sig för att vara innehållet som offret har sökt efter.
  4. För att ladda ner Chrome-tillägget från en fjärresurs använder ChromeLoader ett PowerShell-kommando.
    Den schemalagda uppgiften tas sedan bort av PowerShell och den drabbade användaren är omedveten om att webbläsaren har blivit hackad.
    I detta skede kommer användaren att få falska sökresultat som inte är att lita på, oavsett vilken webbplats och sökmotor som de befinner sig på.
  5. Denna attack påverkar även användare av Mac OSX.
    Angripare använder DMG-filer (Apple Disk Image) istället för ISO-filer, som är ett vanligare format för det operativsystemet.

Grundläggande försiktighetsåtgärder för att undvika ChromeLoader

Det är riskabelt att söka efter crackade spel och program, oavsett om det görs privat eller via ett företagsnätverk. Många webbplatser som sprider skadlig programvara ser ut som ”legitima” webbplatser för crackade program och är svåra att identifiera. Om du laddar ner en torrent riskerar du säkerheten på dina digitala enheter. Det är en god idé att lägga att blockera ISO-filer för nedladdning inom din organisation.

För det första – på grund av att ChromeLoader distribueras som en ISO-fil – och för det andra är det osannolikt att dina anställda kommer att behöver hantera ISO-filer på jobbet.

Därför är det en god idé att blockera ISO-filer för nedladdning.

Om en anställd behöver ladda ner en ISO-fil från internet bör han eller hon vända sig till IT-avdelningen för hjälp med ärendet. Det är mindre sannolikt att anställda får åtkomst till infekterade ISO-filer om torrent-webbplatser som PirateBay är blockerade. Därför rekommenderas även att sådana webbplatser inkluderas i blockeringsfilter.

Slutligen kan tillägg som ChromeLoader utnyttja den genomsnittliga internetanvändarens godtrogenhet.

Det finns mängder av användbara Chrome-tillägg för vanliga användare och de bör inte vara någonting man ska behöva vara rädd för.
Kraftiga rabatter på datorspel och andra artiklar är ganska typiska.
För att kontrollera om ett okänt tillägg har laddats ner och installerats kan du:

  • Klicka på ikonen Mer i Chrome och sedan på Fler verktyg -> Tillägg.
    Där du kan kontrollera vad som finns installerat, vad som är aktivt eller inaktiverat och få mer information om alla installerade tillägg.
    Återställning av webbläsarinställningar och andra rensningsmetoder rekommenderas också av Google.

Denna typ av attack kan undvikas genom att hålla dina säkerhetsprogram uppdaterade och skanna dina enheter regelbundet. Innan du använder en nedladdad fil ska du alltid skanna den. Kom ihåg att otillåtna tillägg kan komma från var som helst, inte bara skumma webbplatser eller nedladdad skadlig kod.

På grund av förhållandevis liberala policyer i webbutiken för Chrome har det hänt att skadliga tillägg har funnits tillgängliga för allmänhen att ladda ner. Innan du installerar ett nytt tillägg i din webbläsare ska du alltid kontrollera recensioner, informationen om utvecklaren, tilläggets åtkomstbehörigheter och annan viktig information.

ChromeLoader är ett typexempel på hur snabbt loader-baserade attacker har ökat. Även om en organisationen har tagit hotet från Bumblebee på allvar och vidtagit alla lämpliga skyddsåtgärder har angreppen muterat i en alarmerande takt. Som vi tidigare påpekat saknar de flesta SIEM- och XDR-lösningar nödvändiga analysverktyg över många datakällor. Det verkliga problemet är att de förlitar sig på regelbaserade maskininlärningsmodeller som är fasta och inte kan anpassas efter hotaktörernas varierande tekniker och verktyg. Detta gör det möjligt för angripare att enkelt leverera skadliga nyttolaster när de har fått ett första fotfäste i nätverket, oftast via en phishing-attack.

Vi har sammanställt en skräddarsydd lista över larm som finns att ladda ner på nedladdningssidan. Logpoints Security Research- och Global Services-team har sammanställt en rapport som går in i detalj på metoderna och utvecklingen av ChromeLoader, bästa säkerhetspraxis och hur man identifierar, undersöker och åtgärdar med hjälp av Logpoint.

ET Chrome loader blog visual (1)

För mer detaljerad information:

Ladda ner rapporten

För mer detaljerad information:

Ladda ner rapporten gratis