A kampány a ChromeLoader nevű káros Chrome böngészőbővítménnyel zajlik, ami módosítja a böngésző beállításait, annak érdekében, hogy reklámokat jelenítsen meg, vagy hogy további káros oldalakra irányítsa át a felhasználót. A káros plugin ezt többféle technikával végzi, például képes eltéríteni a felhasználó keresési lekérdezéseit a népszerű keresőmotorokon (Google, Yahoo, Bing), azaz manipulálni, hogy egy keresési kulcsszóra milyen oldalak jelennek meg a találati listában, ez az ún. search hijacking támadási módszer.
Hogyan zajlik a fertőzés?
A ChromeLoader támadás általában úgy kezdődik, hogy a felhasználó rákattint egy rosszindulatú hirdetésre vagy YouTube-kommentárra. Ekkor egy ISO fájl töltődik le, a fájl megnyitásakor egy böngésző node-webkit (NW.js) vagy egy böngészőbővítmény települ az áldozat böngészőjébe. (Nem csupán Windows rendszrek vannak veszélyben, a szakértők azt is megfigyelték, hogy a fenyegetési szereplők DMG fájlokat is használnak, hogy macOS rendszereket is célba vegyenek.)
A bűnözők célja elsősorban az, hogy olyan reklámokat jelenítsenek meg a fertőzött böngészőben, ami után bevételt szerezhetnek, ha az áldozat véletlenül rájuk kattint. Az aktuális Chromeloader kampány döntően erre utazik, azonban a VMware elemzésében arra hívja fel a figyelmet, hogy a malware-t készítői gyors ütemben fejlesztik, egyszerre több variánsa érhető el és van oylan, amelyik már zsarolóvírust telepít (Enigma ransomware).
„Ez a kampány számos változáson ment keresztül az elmúlt hónapokban, és nem számítunk arra, hogy a kampány üteme lassulna.” ─ írja a VMware. „Ahogy a korábbi ChromeLoader fertőzéseknél is láttuk, ez a kampány széles körben használja a Powershellt, és valószínűleg kifinomultabb támadásokhoz fog vezetni.”
Hogyan védekezhetünk?
Habár a Microsoft javasolja a Megbízhatóságalapú védelem funkció engedélyezését windows-os munkaállomásokon, a legfontosabb, amit megtehetünk saját védelmünk érdekében, hogy kétszer is átgondoljuk, hogy kattintsunk-e egy hivatkozásra, szerepljen az egy YouTube videó komment szekciójában, vagy érkezzen e-mailben.
