ChromeLoader Malware secuestra navegadores con archivos ISO



El malware secuestrador de navegador conocido como ChromeLoader se está volviendo cada vez más generalizado y cada vez más sofisticado, según dos avisos publicados esta semana. Representa una gran amenaza para los usuarios comerciales.

ChromeLoader es un malware sofisticado que utiliza PowerShell, un marco de gestión de configuración y automatización, para inyectarse en el navegador y agregar una extensión maliciosa. Este tipo de amenaza aumenta drásticamente la superficie de ataque, ya que las empresas de hoy dependen más de las aplicaciones de program como servicio (SaaS) en entornos de trabajo flexibles y diversos puntos finales.

“El navegador es la puerta de entrada a Online y, por lo tanto, la primera línea de defensa del usuario cuando accede a las aplicaciones SaaS”, dice a Dim Studying Ohad Bobrov, CTO y cofundador de Talon Cyber ​​Security. “Los atacantes han identificado el navegador como una oportunidad para robar información remota de las aplicaciones SaaS, así como para crear extensiones maliciosas que pueden manipular fácilmente”.

En este caso, el malware utiliza archivos de imagen de disco óptimo (ISO) maliciosos, a menudo ocultos en versiones pirateadas o pirateadas de software o juegos, para controlar el navegador y redirigirlo para mostrar resultados de búsqueda falsos en un esquema de publicidad maliciosa.

Tanto MalwarebytesLabs consultivo
y un canario rojo advertencia Señale que el abuso de PowerShell por parte de ChromeLoader, combinado con el uso de archivos ISO, hace que ChromeLoader sea particularmente agresivo.

“PowerShell, como cualquier otro shell avanzado, se puede utilizar como una herramienta de administración para automatizar tareas”, explica Mike Parkin, ingeniero técnico sénior de Vulcan Cyber, un proveedor de SaaS para la corrección de riesgos cibernéticos empresariales. “Los administradores usan secuencias de comandos de shell benignas para innumerables tareas porque pueden ser versátiles y fácilmente accesibles en casi todas las plataformas”.

Señala que el uso de un archivo ISO para transportar el script, que luego suelta una extensión maliciosa, no es una técnica nueva, pero sigue siendo efectiva porque los ISO todavía se usan comúnmente en entornos comerciales. Si bien esta campaña se basa en una artimaña de software pirateado, las ISO también son importantes en la administración de redes y sistemas y se utilizan para instalar paquetes en servidores y contenedores. Linux se instala a través de ISO, al igual que algunas actualizaciones de Home windows.

Infectar el navegador ayuda a eludir las medidas de seguridad

Parkin agrega que con tantas aplicaciones ahora basadas en navegador, es un lugar lógico para que los ciberdelincuentes coloquen su código malicioso.

Además, el navegador es una aplicación que la mayoría de los programas de seguridad no supervisan y, por lo common, la mayoría de las soluciones de protección de puntos finales no analizan las extensiones para determinar si son maliciosas.

“Al infectar el navegador, el atacante elude una serie de medidas de seguridad, como el cifrado del tráfico, que de otro modo impediría su ataque”, dice Parkin. “Es como agregar un disco duro malicioso a su sistema”.

Tener acceso a un navegador proporciona a los atacantes acceso a los datos de la víctima y, en algunos casos, podría brindar la oportunidad de realizar acciones en nombre de la persona comprometida. Con un acceso tan fácil y una información de alto valor dentro de los navegadores, los operadores de malware pueden lograr grandes resultados con un esfuerzo mínimo.

Para empezar, las capacidades de ChromeLoader no terminan con la instalación de extensiones maliciosas, también podría llevar a cabo ataques más avanzados.

“La mayoría de las herramientas de seguridad no lo detectan”, dice Bobrov de Talon. «El hecho de que ChromeLoader abuse de PowerShell lo hace increíblemente peligroso, ya que esto puede permitir ataques más avanzados, como ransomware, malware sin archivos e inyecciones de memoria de código malicioso».

Agrega que los archivos ISO pueden contener una gran cantidad de datos, por lo que hay mucho espacio para que el malware se esconda. Además, estos archivos son confusos para los usuarios finales y tienen algunas acciones automáticas que puede realizar el sistema operativo.

Higiene cibernética, educación del usuario necesaria para detener archivos ISO maliciosos

Bobrov dice que para evitar la exposición a archivos ISO maliciosos, el primer paso está relacionado con la higiene cibernética básica: debe comprender y confiar en los datos que descarga y de dónde los descarga.

“No ejecute archivos ISO que no sean de fuentes confiables, y nunca ejecute archivos dentro de ISO sin verificar su seguridad”, aconseja. “Al navegar por Net, asegúrese de tener controles de seguridad para ayudar a monitorear los sitios web que navega y ayudar a protegerlo de contenido malicioso”.

Desde la perspectiva de Parkin, la educación del usuario es un buen primer paso para evitar la exposición a archivos ISO maliciosos, lo que incluye enseñar a los usuarios a tener cuidado con la descarga de archivos sospechosos. (Cualquier software descifrado cae en este cubo).

“Más allá de la educación del usuario, los administradores pueden implementar herramientas y aplicar políticas que restringen el montaje de archivos ISO, aunque eso puede ser un desafío en [bring-your-own-device] Entornos BYOD”, dice.

Un paso más allá es el uso de entornos de escritorio remoto como VNC, Citrix o Home windows Distant Desktop, que pueden volver a poner la aplicación de políticas en manos del administrador de TI.



Enlace a la noticia unique