ภัยคุกคามจากมัลแวร์ที่กำลังเพิ่มขึ้นอย่างรวดเร็วที่ถูกพบในปีนี้คือมัลแวร์ที่ถูกเรียกว่า ChromeLoader ซึ่ง Aedan Russell จาก Red Canary กล่าวว่า "มัลแวร์ ChromeLoader เรียกได้ว่าเป็น Browser hijacker ที่พบการแพร่กระจายอย่างต่อเนื่อง โดยมัลแวร์สามารถแก้ไขการตั้งค่าเบราว์เซอร์ของเหยื่อ และเปลี่ยนเส้นทางการเข้าชมเว็บไซต์ของผู้ใช้งานไปยังเว็บไซต์โฆษณาต่างๆ"
ChromeLoader เป็น extension ปลอมบนเบราว์เซอร์ Chrome และจะถูกเผยแพร่ในรูปแบบของไฟล์ ISO ผ่านเว็บไซต์แบบ pay-per-install และมีการโพสต์โฆษณาผ่านโซเชียลมีเดียเป็น QR codes ว่าสามารถ crack เกมส์ และภาพยนตร์ที่ละเมิดลิขสิทธิ์ได้
แม้ว่ามัลแวร์จะทำงานโดยการ Hijacking การ Search ข้อมูลของผู้ใช้ Google, Yahoo และ Bing และเปลี่ยนเส้นทางการรับส่งข้อมูลไปยังเว็บไซต์โฆษณาต่างๆ แต่มันก็มีความสามารถในการใช้ PowerShell เพื่อ inject เข้าสู่เบราว์เซอร์ หรือเพิ่ม extension ได้
มัลแวร์ที่รู้จักกันอีกชื่อหนึ่งว่า Choziosi Loader ถูกพบครั้งแรกโดย G DATA เมื่อต้นเดือนกุมภาพันธ์ที่ผ่านมา
ปัจจุบันจุดประสงค์เดียวของมัลแวร์คือการหารายได้ผ่านโฆษณา และ Hijacking Search engine โดย Karsten Hahn จาก G DATA กล่าวว่า "loader มักจะไม่ใช้ข้อมูลเพย์โหลดเดียวในระยะยาว โดยผู้สร้างมัลแวร์จะมีการปรับปรุงรูปแบบของมัลแวร์เมื่อผ่านไปช่วงเวลาหนึ่ง"
ความสามารถอีกอย่างหนึ่งของ ChromeLoader คือความสามารถในการเปลี่ยนเส้นทางของผู้ที่ตกเป็นเหยื่อ หากเหยื่อพยายามจะเข้าไปที่หน้า extension ของ Chrome ("chrome://extensions") และพยายามจะลบ extension ออก
นอกจากนี้ นักวิจัยยังตรวจพบมัลแวร์ในเวอร์ชันของ macOS ที่ทำงานได้กับทั้งเบราว์เซอร์ Chrome และ Safari ทำให้ ChromeLoader เป็นภัยคุกคามที่สามารถทำงานได้ในหลายแพลตฟอร์มได้อย่างมีประสิทธิภาพ
Russell กล่าวว่า "หากนำไปใช้กับภัยคุกคามที่ส่งผลกระทบสูง เช่น สปายแวร์ หรือเครื่องมือในการขโมย credentials อื่นๆ อาจทำให้การใช้งาน PowerShell ของตัวมัลแวร์ไม่ถูกตรวจจับได้ ก่อนที่จะดำเนินการอื่นๆต่อไป เช่น การขโมยข้อมูลจาก browser sessions ของผู้ใช้งาน เป็นต้น"
ที่มา : thehackernews.com
You must be logged in to post a comment.