Этот шампунь тяжело смыть: новая версия ChromeLoader «Shampoo» крепко и надолго сохраняется в системе

Команда исследователей безопасности HP Wolf Security обнаружила новую версию вредоносного ПО ChromeLoader, получившую название «Shampoo», которая распространяется через поддельные сайты, предлагающие пиратские видеоигры, фильмы и другой контент. Shampoo крадёт конфиденциальные данные, перенаправляет поисковые запросы и внедряет рекламу в браузер жертвы.

Исследователи из HP Wolf Security отслеживают эту кампанию, которая с марта распространяет новый вариант ChromeLoader . Однако Shampoo сложнее удалить из системы благодаря нескольким механизмам сохранения.

Цепочка заражения Shampoo начинается с того, что жертва загружает и запускает вредоносные файлы VBScript с пиратских сайтов, которые предлагают фильмы, видеоигры и другой нелегальный контент. Это приводит к установке вредоносного рекламного расширения Chrome. Последняя кампания очень похожа на кампанию ChromeLoader с точки зрения цепочки заражения, распространения и цели, при этом две версии имеют сходства в коде и функции монетизации рекламы.

Цепочка заражения Shampoo

Одна из отличительных особенностей Shampoo заключается в том, как он использует планировщик задач браузера для достижения сохранения, устанавливая запланированное задание для повторного запуска себя каждые 50 минут.

Скрипт PowerShell настраивает запланированную задачу, запускающую циклический скрипт каждые 50 минут, который загружает и запускает другой скрипт PowerShell. Этот скрипт загружает и устанавливает расширение ChromeLoader Shampoo, которое после присоединения к сессии Chrome начинает отправлять чувствительную информацию обратно на сервер управления и контроля (C2). Такой механизм сохранения позволяет Shampoo оставаться активным несмотря, даже если пользователь или средство безопасности устройства завершат работу скрипта.

Установленное расширение сильно обфусцировано и содержит множество средств защиты от отладки и анализа. Исследователи считают, что автор расширения использовал бесплатный онлайн-обфускатор JavaScript, чтобы сделать вредоносное ПО труднообнаруживаемым.

Другие действия, которые Shampoo выполняет на компьютере жертвы, включают:

• отключение поисковых подсказок в адресной строке;
• перенаправление поисковых запросов Google, Yahoo и Bing на C2-сервер;
• запись последнего поискового запроса жертвы в локальном хранилище Chrome;
• перенаправление жертвы с пути «chrome://extensions» на «chrome://settings», вероятно, чтобы предотвратить удаление расширения

Механизм сохранения, который настраивает запланированное циклическое задание, также отменяет регистрацию списка заданий с префиксом «chrome_» (например, «chrome engine», «chrome policy» и «chrome about»). Это, вероятно, делается для удаления любой предыдущей или конкурирующей версии ChromeLoader.

Чтобы избежать заражения Shampoo, пользователи должны быть осторожны с загрузкой файлов с ненадёжных сайтов и не использовать пиратский контент. Организации также должны настроить свои инструменты безопасности, чтобы блокировать потенциально опасные файлы от неизвестных источников.

ChromeLoader представляет собой перехватчик браузера, способный модифицировать настройки браузера жертвы, чтобы в результатах поиска отображались ресурсы с нежелательным ПО, мошенническими акциями и исследованиями, играми «для взрослых» и сайты знакомств. Его операторы получают прибыль путем переадресации пользовательского трафика на рекламные сайты. От других перехватчиков подобного рода ChromeLoader отличается способностью сохранять постоянство на системе, масштабами атак и агрессивным использованием PowerShell.