Gli esperti di sicurezza di VMware hanno pubblicato un report per illustrare l’evoluzione di Chromeloader, la cui diffusione è in aumento dall’inizio dell’anno. Una campagna recente, scoperta da Microsoft, sfrutta Chromeloader per monetizzare i clic su siti di advertising, ma il malware può anche distribuire ransomware.
Chromeloader: 10 varianti in 9 mesi
Chromeloader viene distribuito tramite software o giochi pirata. L’installer scarica un’immagine ISO che contiene il malware. La prima versione installa un’estensione per Chrome che funziona come “browser hijacker”, raccogliendo informazioni personali e la cronologia. Inoltre redireziona il traffico verso siti di advertising. Lo scopo dei cybercriminali è ottenere profitti dai clic sulle inserzioni. La versione scoperta da Microsoft viene distribuita anche mediante i commenti di YouTube.
Il malware viene installato sul computer quando l’utente clicca sul link Install che esegue un file batch. La catena di infezione prevede inoltre la persistenza (avvio automatico) attraverso l’aggiunta di una chiave al registro di Windows. La prima variante di Chromeloader (Tone) è stata individuata a gennaio. Altre sette usano lo stesso file batch, mentre due sfruttano un file differente.
Una delle varianti utilizza un eseguibile con il nome di Opensubtitles Uploader, un tool legittimo che permette di trovare i sottotitoli di film e serie TV. Un’altra variante usa un eseguibile con il nome di FLB Music Player. Le varianti più recenti di Chromeloader distribuiscono il malware ZipBombs e il ransomware Enigma, i cui effetti sono sicuramente più distruttivi di un semplice adware.
Gli utenti devono assolutamente evitare il download di software o giochi pirata. Inoltre è fortemente consigliata l’installazione di una soluzione di sicurezza che rileva e blocca questo tipo di minacce informatiche.