برنامج ضار يسطو على متصفح الإنترنت يصبح تهديداً خطيراً للمستخدمين

ازداد توزيع البرامج الضارة التي تسمى ChromeLoader في الأشهر الأخيرة، مما حوّلها من مصدر إزعاج نسبي إلى تهديد كامل. وكان باحثون من شركة Red Canary يتتبعون البرامج الضارة على مدار الأشهر الخمسة الماضية، ويقولون إن التهديد قد ارتفع بشكل كبير.

وفقاً للبحث، يستهدف المهاجمون مستخدمي كل من نظامي التشغيل ويندوز وmacOS، ويقومون بتوزيع البرامج الضارة عبر ملفات التورنت التي تتنكر في شكل شقوق للبرامج والألعاب. ويستخدمون أيضاً مواقع التواصل الاجتماعي مثل تويتر، للترويج لروابط التورنت ومشاركة رموز QR التي تؤدي إلى المواقع التي تستضيف البرامج الضارة.

الهدف هو جعل الضحايا يقومون بتنزيل الملفات بأنفسهم. بالنسبة لأهداف Windows، تأتي الملفات في صيغة أرشيف ISO، والذي عند تثبيته بمحرك أقراص مضغوطة افتراضي، يعرض ملفاً تنفيذياً متظاهراً بصيغة أخرى. ويقول الباحثون أن اسم الملف الأكثر احتمالا هو «CS_Installer.exe».

بمجرد تشغيل الضحية للملف، فإنه ينفذ ويفك تشفير أمر PowerShell الذي يسحب أرشيفاً من الخادم، ويحمله كملحق لمتصفح جوجل Chrome. وبعد ذلك يزيل PowerShell المهمة المجدولة ولا يترك أي أثر لوجودها.

منهجية الهجمات على نظام macOS مختلفة إلى حد ما. وبدلاً من صيغة ISO، يستخدم المهاجمون ملفات DMG التي تكون أكثر شيوعاً على النظام الأساسي. كما يقوم أيضاً بتبديل برنامج التثبيت القابل للتنفيذ لبرنامج bash النصي المثبت الذي يقوم بتنزيل الامتداد وفك ضغطه إلى «private / var / tmp».

يوصف ChromeLoader بأنه خاطف متصفح يمكنه تعديل إعدادات المتصفح على نقطة النهاية الهدف، مما يجعله يعرض نتائج البحث المعدلة. ومن خلال إظهار الهدايا المزيفة أو مواقع المواعدة أو برامج الجهات الخارجية غير المرغوب فيها، يكسب ممثلو التهديد عمولة في البرامج التابعة. وقال الباحثون إن ما يميز ChromeLoader في بحر برامج خطف المتصفح المتشابهين، هو استمراره وحجمه ومسار الإصابة به.

Exit mobile version