Ce malware modifie les paramètres du navigateur de sa victime pour modifier ses résultats de recherche et la rediriger vers des sites publicitaires malveillants.
Depuis début février, les chercheurs de Red Canary observent un malware qui infecte le navigateur de ses victimes et détourne leur navigation. Mais ces derniers jours, ce virus semble être plus actif et pose un risque grandissant pour tous les utilisateurs de Chrome. ChromeLoader, de son petit nom, se propage dans des fichiers ISO qui se font passer pour des jeux vidéo crackés ou des films et séries télé piratés. L’un des vecteurs d’infection sont des publications sur Twitter qui proposent des jeux Android crackés et qui invitent les utilisateurs à scanner un QR Code pour les obtenir. Si la personne scanne le code, elle est redirigée vers un site malveillant, qui contient l’ISO vérolé.Une fois l’ISO monté, un exécutable qui se fait passer pour un crack du jeu apparaît, et est en réalité un programme qui installe ChromeLoader en tant qu’extension du navigateur Chrome. Dès son installation, il s’occupe de modifier les paramètres de Chrome et si l’utilisateur essaie de faire des recherches, les résultats lui montreront des sites qui contiennent des logiciels indésirables, de faux sondages ou des sites adultes. Les auteurs du malware gagnent ainsi de l’argent grâce aux revenus publicitaires générés par cette redirection.
Comme noté par les chercheurs de Red Canary, ce comportement est assez habituel pour des malwares du genre et ils ne sont généralement pas considérés comme très dangereux. Cependant, ChromeLoader se différencie des autres par son utilisation de PowerShell pour s’injecter dans le navigateur et installer l’extension, une technique inhabituelle et qui d’après eux n’est parfois pas détectée par les logiciels de sécurité.« S’il est appliqué à une menace qui a un impact plus important – comme un malware qui collecte des identifiants ou un spyware – ce comportement PowerShell pourrait aider des malwares à obtenir un accès initial et à ne pas être détecté avant de réaliser des activités plus ouvertement malveillantes, comme exfiltrer des données des sessions du navigateur de l’utilisateur », explique Red Canary dans son rapport. Et pour éviter sa désinstallation, ChromeLoader redirige agressivement les utilisateurs dès qu’ils tentent d’accéder à la page de gestion des extensions.Mais les utilisateurs sous Windows ne sont pas les seuls qui sont menacés par ChromeLoader. Ceux sous macOS sont également visés, avec un variant capable d’installer des extensions malveillantes aussi bien sur Chrome que sur Safari. L’infection et le comportement du malware sont similaires à la version Windows, à l’exception de l’utilisation du format DMG pour les fichiers plutôt que du format ISO.