Ancaman malvertising menyaksikan lonjakan baru dalam aktivitas sejak kemunculannya awal tahun ini.
Dijuluki ChromeLoadermalware tersebut adalah “pembajak peramban yang meresap dan persisten yang mengubah pengaturan peramban korbannya dan mengarahkan lalu lintas pengguna ke situs web iklan,” kata Aedan Russell dari Red Canary dalam sebuah laporan baru.
ChromeLoader adalah ekstensi browser Chrome jahat dan biasanya didistribusikan dalam bentuk file ISO melalui situs bayar-per-instal dan posting media sosial berumpan yang mengiklankan kode QR ke video game retak dan film bajakan.
Meskipun terutama berfungsi dengan membajak permintaan pencarian pengguna ke Google, Yahoo, dan Bing dan mengarahkan lalu lintas ke situs periklanan, itu juga terkenal karena penggunaan PowerShell untuk menyuntikkan dirinya ke dalam browser dan menambahkan ekstensi.
Malware, juga dikenal sebagai Choziosi Loader, pertama kali didokumentasikan oleh G DATA awal Februari ini.
“Untuk saat ini satu-satunya tujuan adalah mendapatkan pendapatan melalui iklan yang tidak diminta dan pembajakan mesin pencari,” kata Karsten Hahn dari G DATA. “Tetapi pemuat sering kali tidak terpaku pada satu muatan dalam jangka panjang dan pembuat malware meningkatkan proyek mereka dari waktu ke waktu.”
Trik lain di lengan ChromeLoader adalah kemampuannya untuk mengarahkan korban dari halaman ekstensi Chrome (“chrome://extensions”) jika mereka mencoba menghapus add-on.
Selain itu, para peneliti telah mendeteksi versi macOS dari malware yang bekerja melawan browser Chrome dan Safari, secara efektif mengubah ChromeLoader menjadi ancaman lintas platform.
“Jika diterapkan pada ancaman berdampak lebih tinggi — seperti pemanen kredensial atau spyware — perilaku PowerShell ini dapat membantu malware mendapatkan pijakan awal dan tidak terdeteksi sebelum melakukan aktivitas yang lebih berbahaya, seperti mengekstrak data dari sesi browser pengguna,” kata Russell .