ChromeLoader
ChromeLoaderはブラウザ拡張機能の形式のマルウェアです。
ブラウザ拡張機能の形式をとるマルウェアは少なくありませんが、少し他とは異なるところがあります。
こんな感じです。
- 入口はisoファイル
isoファイルとして被害者のパソコンの中に入ってきます。
勝手に入ってくるのではありません。
通常は購入しないと遊べないゲームのクラック版のisoファイルが配布されています。
被害者はこのisoファイルを自分でダウンロードしてきて自分のパソコンに保存します。 - exeファイル(実行ファイル)を自分で実行
isoファイルのなかにはクラック版のゲームをインストールすることのできるインストーラーが含められています。
被害者は誰に頼まれたわけでもなく、自分の意志でこのインストーラーを実行します。 - マルウェアの永続化
インストーラーを実行するとマルウェアの永続化が実施されます。
これでもう被害者がパソコンを再起動してもマルウェアは活動を継続することができます。
安定して脅威の状態を維持できます。 - PowerShellスクリプトの実行
マルウェアはPowerShellスクリプトを実行します。
スクリプトはエンコードされていますのでそのままではどんな処理が記述されているかはわかりません。
スクリプトはChromeLoaderが被害者パソコンにインストール済みかどうかを検査します。
インストールされていない場合はインストールします。 - ChromeLoaderの仕事の開始
ChromeLoaderは仕事を開始します。
被害者の検索結果を不正なドメインを介してリダイレクトします。
単に攻撃者の利益になる広告サイトに誘導して閲覧させることによって利益をあげることができます。
さらに、攻撃者はラップしたサイトを用意すればそこに誘い込むことで被害者のオリジナルサイトの認証情報を盗み取ることもできます。
ユーザーが拡張機能を削除しようとした場合にChrome拡張機能ページからリダイレクトしますので、通常の方法ではChromeLoaderを削除することはできません。
このケースはWindows環境のChromeがターゲットの話でした。
macOS向けにも論理的に同じ内容のものが確認されています。
macOS向けのマルウェアはDMG(Apple Disk Image)ファイルを介して持ち込まれ、最終的にはChromeやSafariの拡張機能として活動を開始します。
毎日使うブラウザの検索結果が操作済みとか想像すると、ぞっとします。
魅力的なものには注意が必要ということかもしれませんね。
このマルウェアそのものは違法なクラック版の入手から始まります。
そういったものに手を出さない人はこのマルウェアについては大丈夫かもしれないですね。
参考記事(外部リンク):ChromeLoader: a pushy malvertiser
redcanary.com/blog/chromeloader/
