Une menace de publicité malveillante connaît une nouvelle vague d’activité depuis son apparition au début de cette année.
Doublé ChromeLoaderle malware est un « pirate de navigateur omniprésent et persistant qui modifie les paramètres du navigateur de ses victimes et redirige le trafic des utilisateurs vers des sites Web publicitaires », Aedan Russell de Red Canary mentionné dans un nouveau rapport.
ChromeLoader est une extension de navigateur Chrome malhonnête et est généralement distribuée sous la forme de fichiers ISO via des sites de paiement à l’installation et des messages appâtés sur les réseaux sociaux qui annoncent des codes QR pour des jeux vidéo piratés et des films piratés.
Bien qu’il fonctionne principalement en détournant les requêtes de recherche des utilisateurs vers Google, Yahoo et Bing et en redirigeant le trafic vers un site publicitaire, il est également remarquable pour son utilisation de PowerShell pour s’injecter dans le navigateur et obtenir l’extension ajoutée.
Le malware, également connu sous le nom de Choziosi Loader, a été documenté pour la première fois par G DATA au début de février.
« Pour l’instant, le seul but est d’obtenir des revenus via des publicités non sollicitées et le piratage des moteurs de recherche », Karsten Hahn de G DATA mentionné. « Mais les chargeurs ne s’en tiennent souvent pas à une seule charge utile à long terme et les auteurs de logiciels malveillants améliorent leurs projets au fil du temps. »
Une autre astuce dans la manche de ChromeLoader est sa capacité à rediriger les victimes de la page des extensions Chrome (« chrome://extensions ») si elles tentent de supprimer le module complémentaire.
De plus, les chercheurs ont détecté une version mac OS du logiciel malveillant qui fonctionne à la fois contre les navigateurs Chrome et Safari, transformant ainsi ChromeLoader en une menace multiplateforme.
« S’il est appliqué à une menace à plus fort impact, telle qu’un collecteur d’informations d’identification ou un logiciel espion, ce comportement de PowerShell pourrait aider les logiciels malveillants à s’implanter initialement et à passer inaperçus avant d’effectuer des activités malveillantes plus ouvertement, comme l’exfiltration de données à partir des sessions de navigateur d’un utilisateur », a noté Russell. .