CDIC 2023

ผู้เชี่ยวชาญพบมัลแวร์ ChromeLoader เพิ่มจำนวนขึ้น แนะระวังการดาวน์โหลดซอฟต์แวร์

ChromeLoader เป็นมัลแวร์ที่มีจุดประสงค์ในการ Hijack บราวน์เซอร์ของผู้ใช้ที่น่าจับตา เนื่องจากความสามารถด้านการฝังตัวยาวนาน และจำนวนที่พบมากขึ้นเรื่อยๆ

ผู้เชี่ยวชาญจาก Red Canary พบว่า ChromeLoader จะมากับไฟล์ ISO อันตรายที่แฝงตัวเป็นเกมหรือซอฟต์แวร์เถื่อน โดยผู้ใช้อาจนำมาจาก Torrent เว็บอันตราย หรือแม้กระทั่งการโปรโมตผ่านทวิตเตอร์ เมื่อเหยื่อทำการ Mount ISO จะพบกับโปรแกรมที่อ้างว่าเป็น Crack หรือ Keygen ที่ชื่อ ‘CS_Installer.exe’ ทั้งหมดนี้นำไปสู่การลอบรันคำสั่ง PowerShell เพื่อดาวน์โหลด ChromeLoader เข้ามาสู่ Google Chrome Extension

หน้าที่ต่อไปก็คือ PowerShell จะลบการตั้งค่างานปล่อยให้ Chrome ที่ติดเชื้อได้ถูกมัลแวร์ฝังเอาไว้แทรกแซงผลค้นหาจาก Search Engine หรือแสดงโฆษณาไม่พึงประสงค์ต่างๆ อย่างไรก็ดีคนร้ายเบื้องหลัง ChromeLoader ไม่ได้ตั้งเป้าแค่ Windows เท่านั้น ในฝั่งของผู้ใช้ macOS เองก็โดนได้เช่นกันทั้ง Chrome และ Safari ด้วยแต่จะอยู่ในรูปแบบที่ประมวลผลกับ macOS เช่น จากไฟล์ ISO ก็ใช้เป็น DMG (Apple Disk Image) และจาก PowerShell ก็เปลี่ยนเป็น Bash Script ซึ่งอีกความน่าสนใจคือคนร้ายได้ทำการฝังตัวบน macOS ด้วยการแฝงตัวในไดเรกทอรี /Library/LaunchAgents ที่เมื่อผู้ใช้ล็อกอินเข้ามา Bash Script จะสามารถทำงานต่อไป

ที่มา : https://www.bleepingcomputer.com/news/security/new-chromeloader-malware-surge-threatens-browsers-worldwide/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

ขอเชิญร่วมงานสัมมนาออนไลน์ Elevating Security with Akamai พบกับโซลูชันด้านความมั่นคงปลอดภัยที่ล้ำสมัยจาก Akamai Technologies [อังคารที่ 19 ธันวาคม 23] เวลา14.00 น.

ในยุคที่ภัยคุกคามทางไซเบอร์กำลังพัฒนาไปอย่างรวดเร็วอย่างที่ไม่เคยเกิดขึ้นมาก่อน ธุรกิจต่างๆ ต้องการโซลูชันความปลอดภัยที่แข็งแกร่งและครอบคลุมเพื่อปกป้องสินทรัพย์ดิจิทัลของบริษัท ขอเชิญผู้สนใจทุกท่านเข้าร่วมงานสัมมนาออนไลน์สุดพิเศษนี้ โดยท่านจะได้พบกับเทคโนโลยีการรักษาความปลอดภัยที่ล้ำสมัยจาก Akamai Technologies โดยมุ่งเน้นไปที่ความปลอดภัยของ API การปกป้องฝั่งไคลเอ็นต์ และตัวป้องกันบัญชี

ขอเชิญผู้สนใจเข้าร่วม งาน VSM365 | Softde’but Ep.18  ในหัวข้อ ❝ ปกป้ององค์กรของคุณ จากการโจมตีทางไซเบอร์ขั้นสูง ด้วย Proofpoint ❞

Softde’but ขอเชิญผู้สนใจเข้าร่วม งาน VSM365 | Softde’but Ep.18 ในหัวข้อ ❝ ปกป้ององค์กรของคุณ จากการโจมตีทางไซเบอร์ขั้นสูง ด้วย Proofpoint ❞ โดยงานจะจัดขึ้นในวันศุกร์ที่ …