El malware ChromeLoader acecha a todos los navegadores del mundo

¡Ten cuidado con el malware ChromeLoader!

Malware ChromeLoader
Malware ChromeLoader

Desde el mes pasado, se ha detectado que el malware ChromeLoader ha tenido aumento significativo. El malware ya es un viejo conocido, sin embargo, desde inicios de año se había mantenido relativamente estable, pero en los últimos días su incremento se ha visto significativamente alto.

El malware ChromeLoader lo que hace es secuestrar cualquier navegador existente en el mercado convirtiéndolo en una amenaza generalizada. Lo que hace es realizar modificaciones en la configuración del propio navegador para mostrar resultados de búsqueda con resultados no deseados, también engaña a los usuarios con falsos obsequios, encuestas falsas, juegos para adultos y hasta te muestra sitios para citas románticas.

Malware ChromeLoader
Malware ChromeLoader

Reportan un incremento en la propagación del malware ChromeLoader

Lógicamente, los desarrolladores de este sofisticado malware reciben ganancias con todas estas estafas, a través de un sistema de afiliación de marketing al redirigir el tráfico de usuarios a sitios publicitarios. Si bien es cierto, hay muchos malware que se dedican a secuestrar a los navegadores, sin embargo, ChromeLoader se destaca por su persistencia, volumen y vía de infección ya que implica un uso agresivo de PowerShell.

ChromeLoader abusa de PowerShell

Los investigadores de Red Canary, quienes han estado monitoreando el comportamiento del malware han informado que sus operadores utilizan un ISO falso con archivos maliciosos para infectar a las victimas. El ISO se hace pasar como un archivo legitimo de algún juego o software, por lo que es fácil que las victimas procedan a descargarlo desde Torrents o sitios web maliciosos.

También los investigadores han reportado que algunas publicaciones realizadas a través de la red social Twitter promocionan enlaces a juegos Android gratuitos en donde se alojan los malware.

Cuando una persona hace doble clic en el archivo ISO en Windows 10 o posterior, el archivo ISO se montará como una unidad de CD-ROM virtual. Este archivo ISO contiene un ejecutable que pretende ser un crack o keygen del juego, usando nombres como «CS_Installer.exe».

Por último, el malware ChromeLoader se ejecuta y decodifica un comando de PowerShell que obtiene un archivo de un recurso remoto que luego carga como una extensión de Google Chrome. Una vez hecho esto, PowerShell eliminará la tarea programada dejando a Chrome infectado con una extensión inyectada silenciosamente que secuestra el navegador y manipula los resultados del motor de búsqueda.

ChromeLoader también afecta a macOS

Los operadores detrás de ChromeLoader también apuntan a los sistemas macOS, buscando manipular los navegadores web Chrome y Safari de Apple. La cadena de infección en macOS es similar, pero en lugar de ISO, los atacantes usan archivos DMG (Imagen de disco de Apple), un formato más común en ese sistema operativo.

Por otra parte, en lugar del ejecutable del instalador como en Windows, la variante de macOS usa un script bash del instalador que descarga y descomprime la extensión ChromeLoader en el directorio «private/var/tmp», una vez realizado el proceso, el navegador queda infectado.

Si cree que su navegador muestra información no apropiada a sus búsquedas, por favor verifique que extensiones están instaladas siguiendo los pasos recomendados por los desarrolladores de Chrome y Safari.