Fabian Caballero Cyber Intelligence Engineer

Las reconocidas empresas Vmware y Microsoft se encuentran en estado de alerta, debido a la identificación de una campaña de malware distribuido a través de Chromeloader la cual se encuentra en curso.

Chromeloader es conocido por “secuestrar” el navegador web de la víctima instalando extensiones maliciosas sobre estos y redirigiendo el tráfico de los usuarios hacia objetivos previamente definidos por el atacante. Este, por medio del uso de Powershell utiliza código malicioso para inyectarse en el navegador web y agregar la respectiva extensión en el (NW.js). Por medio de diversas investigaciones que se han venido realizando desde el mes de mayo se ha podido hacer seguimiento a las variantes que ha presentado este tipo de malware.

En el mes de mayo investigadores de Red Canary identificaron como una campaña de publicidad maliciosa propagaba el malware en mención con la finalidad de que la víctima accediera a sitios publicitarios para realizar fraude de clics (generación de clics con intención maliciosa o fraudulenta para generar ganancias en diferentes sitios web).

Posteriormente, en el mes de julio los investigadores de Unit 42 de Palo Alto establecieron que, además de mantener sus funciones de adware (software que muestra u ofrece publicidad), Chromeloader intentaba robar los datos almacenados en los navegadores.

Finalizando la semana anterior Microsoft publicó un hilo informativo en Twitter donde advertía sobre una campaña asociada a fraude de clics que se encontraba en curso, esta fue atribuida al grupo DEV-0796 quien utilizó Chromeloader para infectar a las víctimas.

Por último, el pasado lunes Vmware generó un informe técnico detallado en donde realiza una descripción de diferentes variantes de Chromeloader utilizadas entre agosto y lo que va corrido de septiembre, en este análisis destacó que son cada vez más potentes los payloads que se están ejecutando.

Según el análisis realizado a las nuevas variantes estas se distribuyen por medio de archivos ISO, los cuales se descargan al dar clic en comentarios de Youtube y anuncios maliciosos, una vez ejecutado el ISO se instala una webkit como extensión en el navegador (NW.js), esta contiene los payloads previamente cargados por el atacante. También se pudo apreciar como al ejecutar la ISO en sistemas operativos como Windows 10 y posteriores se genera de manera automática una nueva “unidad de disco” en el equipo a la cual se le asigna una letra como si fuera una unidad típica, gracias a esto el atacante puede distribuir varios archivos de malware a la vez con mayor facilidad. Por lo general la ISO contiene 4 archivos, un .ZIP que almacena el malware, un archivo ICON, un archivo .bat que instala el malware y por último un acceso directo que ejecuta el .bat.

Otras variantes importantes que fueron estudiadas fueron algunas versiones falsas de programas como OpenSubtitles (programa para buscar subtítulos de películas) y Fibmusic.exe (reproductor de música), además, el uso de Chromeloader para descargar el Ransomware Enigma, el cual una vez abierto el ISO que lo contiene correrá un javascript que activará su ejecución. La evolución de este ataque está generando gran preocupación ya que ha surgido como un nuevo método para burlar los sistemas, dejando de lado los ataques enfocados en las macros de Microsoft, los cuales fueron deshabilitados por la entidad, se espera que en los próximos meses se sigan identificando nuevas variantes, por lo que se invita a las empresas a ser muy cuidadosas con las descargas de cualquier tipo de utilidad a través de los navegadores utilizados en los equipos.

Recomendaciones:
  •  Restringir las descargas de extensiones y utilidades en los equipos de la compañía o en casos específicos verificar que dichas extensiones sean legitimas antes de instalarlas.
Fuentes:

Info@etek.com

Colombia                          Perú                                    India

+57 (1) 2571520                  +51 (1) 6124343                 +91-9873451221