Uma nova campanha do ChromeLoader está em andamento, infectando visitantes de sites de filmes piratas e warez com uma nova variante do sequestrador de pesquisa e extensão de navegador adware chamada Shampoo.
A descoberta da nova campanha vem da equipe de pesquisa de ameaças da HP (Wolf Security), que relata que a operação está em andamento desde março de 2023.
O ChromeLoader é um sequestrador de navegador que força a instalação de extensões de navegador que redirecionam resultados de pesquisa para promover software indesejado, brindes falsos, pesquisas, jogos adultos, sites de namoro e outros resultados irrelevantes.
Aproximadamente um ano atrás, analistas da Red Canary relataram um aumento repentino na distribuição do ChromeLoader que havia começado em fevereiro de 2022, agora incluindo o macOS no escopo de direcionamento, juntamente com o Windows.
Em setembro, a VMware e a Microsoft alertaram sobre outra grande campanha do ChromeLoader que apresentava a capacidade experimental de inserir malware adicional, incluindo ransomware.
Mais recentemente, em fevereiro de 2023, pesquisadores de segurança da ASEC descobriram uma campanha em que o malware ChromeLoader foi distribuído em arquivos VHD com nome de jogos de vídeo populares.
Os analistas da HP relatam que, na campanha que começou em março de 2023, o ChromeLoader é distribuído por meio de uma rede de sites maliciosos que prometem downloads gratuitos de música, filmes ou jogos de vídeo protegidos por direitos autorais.
Em vez de arquivos de mídia legítimos ou instaladores de software, as vítimas baixam VBScripts que executam scripts do PowerShell configurando uma tarefa agendada prefixada com "chrome_" para persistência.
Essa tarefa aciona uma série de scripts que baixam e salvam um novo script do PowerShell no registro do host como "HKCU:\Software\Mirage Utilities\" e também recuperam a extensão maliciosa do Chrome, Shampoo.
O Shampoo é uma variante do ChromeLoader, capaz de injetar anúncios em sites visitados pela vítima e redirecionar consultas de pesquisa.
Em uma amostra analisada pelo BleepingComputer, as pesquisas da barra de endereços do navegador ou do Google são primeiro redirecionadas para um site chamado ythingamgladt e depois para resultados de pesquisa do Bing.
Uma vez instalada a extensão maliciosa, ela impede que a vítima acesse a tela de extensões do Chrome.
Os usuários são redirecionados para a tela de configurações do Chrome ao tentar fazê-lo.
A operação do adware é considerada financeiramente motivada, visando gerar receita com redirecionamentos de pesquisa e anúncios.
Claro, não é difícil para as vítimas notarem esses redirecionamentos, pois não estão obtendo o que procuram no Google, mas remover o malware é complicado.
"Remover o ChromeLoader Shampoo não é tão simples quanto desinstalar uma extensão legítima", adverte a HP no relatório.
"O malware depende de scripts de loop e de uma tarefa agendada do Windows para reinstalar a extensão sempre que a vítima a remove ou reinicia o dispositivo."
Portanto, se a vítima reiniciar o sistema, o malware do Chrome será temporariamente desativado, mas será reinstalado rapidamente.
Para se livrar do ChromeLoader Shampoo, a HP Wolf Security diz que os usuários podem realizar as seguintes etapas: o BleepingComputer também encontrou scripts do PowerShell extraindo a extensão maliciosa para a pasta 'C:\Users\<user>\appdata\local\chrome_test', que deve ser excluída se existir.
A HP adverte que essas etapas de remoção devem ser concluídas rapidamente antes que o script de loop reinstale o malware.
Um método simples para determinar se uma variante do ChromeLoader está sendo executada no seu navegador da web é verificar se o Chrome está sendo executado com o argumento "-load-extension".
Você pode usar ferramentas como o Process Explorer para examinar as propriedades de um processo e ver os argumentos de linha de comando.
A HP explica que aqueles que trabalham em ambientes corporativos e estão infectados com o ChromeLoader podem relutar em pedir ajuda aos colegas do departamento de TI por medo das ramificações de violar as políticas de seus empregadores ao baixar software de fontes duvidosas.
No entanto, a ameaça de adware não deve ser ignorada ou minimizada, pois ainda é um trojan rodando em seu sistema que pode tentar causar danos mais significativos a qualquer momento, caso seus operadores decidam buscar caminhos de monetização mais agressivos a partir de suas infecções.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...