Một mối đe dọa quảng cáo độc hại đang chứng kiến một sự gia tăng hoạt động mới kể từ khi xuất hiện vào đầu năm nay.
Được gọi là ChromeLoader, phần mềm độc hại này là một “kẻ xâm nhập trình duyệt phổ biến và dai dẳng, nó sửa đổi cài đặt trình duyệt của nạn nhân và chuyển hướng lưu lượng truy cập của người dùng đến các trang web quảng cáo”, Aedan Russell của Red Canary cho biết trong một báo cáo mới.
ChromeLoader là một tiện ích mở rộng của trình duyệt Chrome giả mạo và thường được phân phối dưới dạng tệp ISO thông qua các trang web trả tiền cho mỗi lần cài đặt và các bài đăng trên mạng xã hội quảng cáo mã QR cho các trò chơi điện tử bị bẻ khóa và phim vi phạm bản quyền.
Mặc dù nó chủ yếu hoạt động bằng cách chiếm quyền điều khiển các truy vấn tìm kiếm của người dùng tới Google, Yahoo và Bing và chuyển hướng lưu lượng truy cập đến một trang web quảng cáo, nó cũng đáng chú ý với việc sử dụng PowerShell để tự đưa vào trình duyệt và thêm tiện ích mở rộng.
Phần mềm độc hại, còn được gọi là Choziosi Loader, lần đầu tiên được G DATA ghi nhận vào đầu tháng 2 này.
Karsten Hahn của G DATA cho biết: “Hiện tại, mục đích duy nhất là kiếm doanh thu thông qua các quảng cáo không được yêu cầu và chiếm quyền điều khiển công cụ tìm kiếm. “Nhưng các trình tải thường không gắn bó với một trọng tải trong thời gian dài và các tác giả phần mềm độc hại sẽ cải thiện các dự án của họ theo thời gian.”
Một thủ thuật khác trong tay áo của ChromeLoader là khả năng chuyển hướng nạn nhân khỏi trang tiện ích mở rộng của Chrome (“chrome: // extensions”) nếu họ cố gắng xóa tiện ích bổ sung.
Hơn nữa, các nhà nghiên cứu đã phát hiện ra phiên bản macOS của phần mềm độc hại hoạt động trên cả trình duyệt Chrome và Safari, biến ChromeLoader thành một mối đe dọa đa nền tảng.
“Nếu được áp dụng cho một mối đe dọa có tác động cao hơn – chẳng hạn như máy thu thập thông tin xác thực hoặc phần mềm gián điệp – hành vi PowerShell này có thể giúp phần mềm độc hại có được chỗ đứng ban đầu và không bị phát hiện trước khi thực hiện hoạt động độc hại công khai hơn, như lấy cắp dữ liệu từ các phiên trình duyệt của người dùng”, Russell lưu ý .
.
