ChromeLoader 맬웨어가 전 세계로 확산되어 Windows와 Mac을 모두 공격합니다.

이번 달에는 ChromeLoader 맬웨어가 올해 초부터 꾸준히 큰 피해를 입힌 뒤 그 수가 증가하고 있습니다. 이로 인해 브라우저 하이재킹이 광범위한 위협이 되었습니다.

ChromeLoader는 피해자의 웹 브라우저 설정을 수정하여 정크웨어를 광고하는 검색 결과를 표시하고, 가짜 설문 조사 사이트에서 자동 실행을 실행하고, 가짜 경품을 제공하고, 성인 게임과 데이트 사이트를 광고하는 브라우저 하이재커 유형입니다.

이 맬웨어를 만든 사람들은 제휴 마케팅 시스템을 통해 재정적 이익을 얻습니다.

이런 유형의 맬웨어는 많지만 ChromeLoader는 PowerShell 을 공격적으로 남용하여 지속성, 규모 및 감염 경로가 강한 것이 특징입니다.

PowerShell 남용

2월부터 ChromeLoader의 활동을 추적해 온 Red Canary의 연구원에 따르면, 운영자는 악성 ISO 아카이브 파일을 사용하여 피해자를 맬웨어에 감염시킵니다.

일반적으로 악성 ISO 파일은 피해자가 직접 다운로드하여 활성화할 수 있도록 크랙된 소프트웨어나 게임으로 위장되어 있습니다. 트위터에는 악성코드 다운로드 페이지로 바로 연결되는 QR 코드가 있는 크랙된 안드로이드 게임을 홍보하는 광고도 있습니다.

사용자가 악성 ISO 파일을 두 번 클릭하면 가상 CD-ROM 드라이브로 마운트됩니다. 여기에는 .exe 확장자를 가진 실행 파일이 포함됩니다. 이 명령을 실행하면 ChromeLoader가 트리거되고 PowerShell 명령을 디코딩하여 원격 리소스 캐시 파일을 가져와 Google Chrome 확장 프로그램으로 로드할 수 있습니다 .

작업이 완료되면 PowerShell은 브라우저에 은밀히 침투하여 검색 결과를 조작하고 기타 작업을 수행할 수 있는 확장 프로그램을 통해 Chrome을 감염시킨 예약된 작업을 삭제합니다.

macOS도 취약합니다

ChromeLoader를 개발한 사람들은 macOS를 실행하는 컴퓨터도 타깃으로 삼습니다. 그들은 macOS에서 실행되는 Chrome과 Safari를 모두 조작하고 싶어합니다.

macOS의 감염 경로는 Windows와 비슷하지만, ISO 대신 Apple 운영 체제에서 흔히 사용되는 형식인 DMG(Apple Disk Image) 파일을 사용합니다.

또한, macOS의 ChromeLoader 변형은 설치 프로그램을 실행하는 대신 설치 프로그램의 bash 스크립트를 사용하여 "private/var/tmp" 디렉토리에 ChromeLoader 확장 프로그램을 다운로드하고 압축을 풉니다.

가능한 한 오랫동안 현재 상태를 유지하기 위해 ChromeLoader는 환경 설정 파일('plist')을 '/Library/LaunchAgents' 폴더에 추가합니다. 이렇게 하면 사용자가 그래픽 세션에 로그인할 때마다 ChromeLoader Bash 스크립트가 계속 실행될 수 있습니다.

확장 프로그램을 확인하고 삭제하려면 다음 지침을 따르세요.

• Google Chrome, Safari, Firefox에서 확장 프로그램을 확인하고 삭제하세요

또한, 다른 브라우저 설정을 확인하여 이상한 점이 있는지 확인할 수도 있습니다. 이상한 설정을 발견하면 원래 모드로 복원하여 문제를 해결하세요.