Especialistas en ciberseguridad de Malwarebytes Labs y Red Canary reportan que la infame herramienta ChromeLoader ahora está utilizando PowerShell para expandir sus capacidades, permitiendo a los operadores desplegar ransomware, spyware, y robar información de navegadores web afectados.
Como algunos recordarán, ChromeLoader es una herramienta de secuestro de navegador cuya principal función es redirigir a los usuarios afectados a sitios web de malvertising; si esta ya era una práctica peligrosa, con la inclusión de código PowerShell los hackers maliciosos están aumentando la apuesta a niveles insospechados.
Este software malicioso infecta sistemas Windows a través de archivos ISO disfrazados como videojuego, películas o programas de televisión pirateados. Esto no quiere decir que solo los usuarios de Windows se ven afectados, ya que los hackers también pueden atacar a usuarios de macOS usando archivos DMG en lugar de archivos ISO, ocultando ChromeLoader en un archivo muy común de sistemas de Apple.
Aunque la redirección a sitios web publicitarios suele ser poco riesgosa para los usuarios expuestos, ChromeLoader ha agregado una característica única, empleando PowerShell para inyectarse en el navegador afectado y agregar una extensión maliciosa.
El usuario objetivo debe ejecutar el archivo que oculta la carga final; una vez hecho esto, el script instalador inicia cURL para recuperar un archivo ZIP que contiene la extensión maliciosa y lo descomprime dentro del directorio private/var/tmp, para finalmente ejecutar Chrome con opciones de línea de comandos para cargar la extensión.
El código malicioso elimina la tarea programada para que la víctima no tenga idea de que su navegador se ha visto comprometido, resultando casi imposible para el usuario afectado distinguir la actividad cibercriminal.
Los investigadores incluyeron algunos mecanismos de mitigación para prevenir infecciones de ChromeLoader. Aunque sea obvio, no está de más recomendar a los usuarios evitar la descarga de software pirateado, pues este siempre ha sido un señuelo funcional para los hackers, además de que la piratería es ilegal.
Los usuarios también pueden hacer clic en el ícono “Más”, luego en “Más herramientas -> Extensiones” de la lista desplegable en Chrome para ver una lista de cualquier extensión ejecutada en su navegador. Si aparece alguna herramienta sospechosa o desconocida, lo mejor será desinstalarla y depurar su dispositivo.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.