Peneliti keamanan siber telah menemukan varian baru malware pencuri informasi ChromeLoader, menyoroti fitur yang berkembang yang disetel dalam rentang waktu singkat.
Terutama digunakan untuk membajak pencarian browser korban dan menampilkan iklan, ChromeLoader terungkap pada Januari 2022 dan telah didistribusikan dalam bentuk unduhan file ISO atau DMG yang diiklankan melalui kode QR di Twitter dan situs game gratis.
ChromeLoader juga telah diberi nama kode Choziosi Loader dan ChromeBack oleh komunitas keamanan siber yang lebih luas. Apa yang membuat adware terkenal adalah bahwa itu dibuat sebagai ekstensi browser yang bertentangan dengan Windows executable (.exe) atau Dynamic Link Library (.dll).
Selain meminta izin invasif untuk mengakses data browser dan memanipulasi permintaan web, ini juga dirancang untuk menangkap kueri mesin pencari pengguna di Google, Yahoo, dan Bing, yang secara efektif memungkinkan pelaku ancaman memanen perilaku online mereka.
Sementara varian Windows pertama dari malware ChromeLoader terlihat pada bulan Januari, versi macOS dari malware muncul pada bulan Maret untuk mendistribusikan ekstensi Chrome jahat (versi 6.0) dalam bentuk file disk image (DMG).
Tetapi analisis baru dari Palo Alto Networks Unit 42 menunjukkan bahwa serangan paling awal yang diketahui melibatkan malware terjadi pada Desember 2021 menggunakan executable yang dikompilasi AutoHotKey menggantikan file ISO yang diamati kemudian.
“Malware ini adalah file yang dapat dieksekusi yang ditulis menggunakan AutoHotKey (AHK) – kerangka kerja yang digunakan untuk otomatisasi skrip,” kata peneliti Unit 42 Nadav Barak, menambahkan bahwa itu digunakan untuk menghapus “versi 1.0” dari add-on browser.
Versi pertama ini juga dikatakan tidak memiliki kemampuan kebingungan, sebuah fitur yang telah diambil dalam iterasi berikutnya dari malware untuk menyembunyikan tujuan dan kode berbahayanya.
Juga diamati pada Maret 2022 adalah kampanye yang sebelumnya tidak didokumentasikan menggunakan ekstensi Chrome versi 6.0 dan bergantung pada gambar ISO yang berisi pintasan Windows yang tampaknya tidak berbahaya, tetapi, pada kenyataannya, bertindak sebagai saluran untuk meluncurkan file tersembunyi di gambar yang dipasang yang menyebarkan malware.
“Malware ini menunjukkan bagaimana ditentukannya penjahat siber dan pembuat malware: Dalam waktu singkat, pembuat ChromeLoader merilis beberapa versi kode yang berbeda, menggunakan beberapa kerangka kerja pemrograman, fitur yang disempurnakan, obfuscator canggih, masalah tetap, dan bahkan menambahkan dukungan lintas-OS menargetkan Windows dan macOS,” kata Barak.