Une nouvelle campagne ChromeLoader est en cours, infectant les visiteurs de warez et de sites de films piratés avec une nouvelle variante du pirate de recherche et de l’extension de navigateur publicitaire nommée Shampoo.
Cette découverte de la nouvelle campagne provient de l’équipe de recherche sur les menaces de HP (Wolf Security), qui rapporte que l’opération est en cours depuis mars 2023.
Historique de ChromeLoader
ChromeLoader est un pirate de navigateur qui installe de force des extensions de navigateur qui redirigent les résultats de recherche pour promouvoir des logiciels indésirables, de faux cadeaux, des sondages, des jeux pour adultes, des sites de rencontres et d’autres résultats non pertinents.
Il y a environ un an, les analystes de Red Canary ont signalé un pic soudain de la distribution de ChromeLoader qui avait commencé en février 2022, incluant désormais macOS dans le périmètre de ciblage avec Windows.
En septembre, VMware et Microsoft ont mis en garde contre une autre campagne massive de ChromeLoader présentant la capacité expérimentale de supprimer des logiciels malveillants supplémentaires, y compris des ransomwares.
Plus récemment, en février 2023, des chercheurs en sécurité de l’ASEC ont découvert une campagne dans laquelle le logiciel malveillant ChromeLoader était distribué dans des fichiers VHD nommés d’après des jeux vidéo populaires.
Campagne la plus récente
Les analystes de HP rapportent que dans la campagne qui a débuté en mars 2023, ChromeLoader est distribué via un réseau de sites Web malveillants qui promettent des téléchargements gratuits de musique, de films ou de jeux vidéo protégés par des droits d’auteur.
Au lieu de fichiers multimédias ou d’installateurs de logiciels légitimes, les victimes téléchargent des VBScripts qui exécutent des scripts PowerShell configurant une tâche planifiée avec le préfixe « chrome_ » pour la persistance.
Cette tâche déclenche une série de scripts qui téléchargent et enregistrent un nouveau script PowerShell dans le registre de l’hôte sous le nom « HKCU:\Software\Mirage Utilities\ » et récupèrent également l’extension Chrome malveillante, Shampoo.
Shampoo est une variante de ChromeLoader, capable d’injecter des publicités sur les sites Web visités par la victime et d’effectuer des redirections de requêtes de recherche.
Dans un échantillon analysé par Breachtrace, les recherches à partir de la barre d’adresse du navigateur ou de Google sont d’abord redirigées vers un site Web sur ythingamgladt[.]com, puis vers les résultats de recherche Bing.
Une fois l’extension malveillante installée, elle empêche la victime d’accéder à l’écran des extensions Chrome. Les utilisateurs sont plutôt redirigés vers l’écran des paramètres de Chrome lorsqu’ils tentent de le faire.
On pense que le fonctionnement du logiciel publicitaire est motivé financièrement, visant à générer des revenus à partir des redirections de recherche et des publicités.
Bien sûr, il n’est pas difficile pour les victimes de remarquer ces redirections, car elles n’obtiennent pas ce qu’elles recherchent sur Google, mais la suppression du malware est compliquée.
« Supprimer ChromeLoader Shampoo n’est pas aussi simple que de désinstaller une extension légitime », prévient HP dans le rapport.
« Le logiciel malveillant s’appuie sur des scripts en boucle et une tâche planifiée de Windows pour réinstaller l’extension chaque fois que la victime la supprime ou redémarre son appareil. »
Par conséquent, si la victime redémarre le système, le malware Chrome sera temporairement désactivé, mais il sera réinstallé rapidement.
Pour se débarrasser de ChromeLoader Shampoo, HP Wolf Security indique que les utilisateurs peuvent effectuer les étapes suivantes :
- Supprimez toutes les tâches planifiées précédées de « chrome_ ». Les tâches planifiées légitimes de Chrome sont normalement précédées de « Google ».
- Supprimez la clé de registre « HKCU\Software\Mirage Utilities\ ».
- Redémarrez ensuite l’ordinateur.
Breachtrace a également trouvé les scripts PowerShell extrayant l’extension malveillante dans le dossier ‘C:\Users\\appdata\local\chrome_test’, qui doit être supprimé s’il existe.
HP avertit que ces étapes de suppression doivent être effectuées rapidement avant que le script en boucle ne réinstalle le logiciel malveillant.
Une méthode simple pour déterminer si une variante de ChromeLoader s’exécute sur votre navigateur Web consiste à vérifier si Chrome s’exécute avec l’argument « -load-extension ». Vous pouvez utiliser des outils tels que Process Explorer pour examiner les propriétés d’un processus et voir les arguments de la ligne de commande.
HP explique que ceux qui travaillent dans des environnements d’entreprise infectés par ChromeLoader peuvent être réticents à demander l’aide de leurs collègues du service informatique, car ils craignent les conséquences d’enfreindre les politiques de leur employeur en téléchargeant des logiciels à partir de sources douteuses.
Cependant, la menace des logiciels publicitaires ne doit pas être ignorée ou minimisée, car il s’agit toujours d’un cheval de Troie s’exécutant sur votre système qui pourrait tenter de causer des dommages plus importants à tout moment, si ses opérateurs décidaient de rechercher des voies de monétisation plus agressives à partir de leurs infections.