malware

Una amenaza de publicidad maliciosa está presenciando un nuevo aumento en la actividad desde su aparición a principios de este año.

Apodado ChromeLoader , el malware es un «secuestrador de navegador generalizado y persistente que modifica la configuración del navegador de sus víctimas y redirige el tráfico del usuario a sitios web de publicidad», dijo Aedan Russell de Red Canary en un nuevo informe.

ChromeLoader es una extensión falsa del navegador Chrome y generalmente se distribuye en forma de archivos ISO a través de sitios de pago por instalación y publicaciones en redes sociales que anuncian códigos QR para videojuegos pirateados y películas pirateadas.

Si bien funciona principalmente secuestrando las consultas de búsqueda de los usuarios a Google, Yahoo y Bing y redirigiendo el tráfico a un sitio publicitario, también se destaca por el uso de PowerShell para inyectarse en el navegador y agregar la extensión.

Programa malicioso ChromeLoader

El malware, también conocido como Choziosi Loader, fue documentado por primera vez por G DATA a principios de febrero.

«Por ahora, el único propósito es obtener ingresos a través de anuncios no solicitados y secuestro de motores de búsqueda», dijo Karsten Hahn de G DATA . «Pero los cargadores a menudo no se adhieren a una carga útil a largo plazo y los autores de malware mejoran sus proyectos con el tiempo».

Otro truco bajo la manga de ChromeLoader es su capacidad para redirigir a las víctimas desde la página de extensiones de Chrome («chrome://extensions») en caso de que intenten eliminar el complemento.

Programa malicioso ChromeLoader

Además, los investigadores han detectado una versión macOS del malware que funciona contra los navegadores Chrome y Safari, convirtiendo a ChromeLoader en una amenaza multiplataforma.

«Si se aplica a una amenaza de mayor impacto, como un recolector de credenciales o spyware, este comportamiento de PowerShell podría ayudar al malware a establecerse inicialmente y pasar desapercibido antes de realizar una actividad más abiertamente maliciosa, como filtrar datos de las sesiones del navegador de un usuario», señaló Russell.

Fuente y redacción: thehackernews.com

Compartir