Securityonderzoekers van VMware waarschuwen voor de opkomst van ChromeLoader. De malware kaapt de browsers van slachtoffers om kwaadaardige bestanden en gerichte advertenties te verspreiden.

ChromeLoader werd in januari ontdekt. Onbewuste slachtoffers installeren de malware met een .iso-bestand, waarna het programma browsergegevens manipuleert om gerichte advertenties advertenties te tonen. De malwarecategorie staat bekend als adware.

VMware stelt dat adware regelmatig wordt weggewuifd als “vervelende malware”. Een zeurende kiespijn, maar niet genoeg om naar de tandarts te stappen. Volgens de organisatie verdient ChromeLoader meer respect. De variant is schadelijker dan het lijkt.

Van kwaad tot erger

Allereerst maakt de malware het mogelijk om advertentie-inkomsten te genereren. Google gebruikt de browsergegevens van Chrome-gebruikers om gerichte advertenties aan adverteerders te verkopen. ChromeLoader manipuleert de gegevens om advertenties naar keuze te tonen. In ruil voor een vergoeding kunnen cybercriminelen de advertenties van adverteerders voorschotelen op geïnfecteerde apparaten.

Ten tweede stelt ChromeLoader cybercriminelen in staat om aanvullende malwarevarianten te verspreiden. De advertenties op geïnfecteerde apparaten hoeven niet naar legitieme producten of diensten te verwijzen. Cybercriminelen kunnen de advertenties evengoed omleiden naar oplichtingswebsites en pagina’s voor de verspreiding van malware.

Ten derde maakt de malware het mogelijk om data te stelen. In het rapport wijst VMware naar ‘Bloom’, een variant van ChromeLoader die een .exe-bestand op geïnfecteerde systemen dropt. De variant verbindt met externe systemen om de persoonsgegevens van slachtoffers weg te sluizen.

Zip bombs en ransomware

Ten vierde stelt ChromeLoader cybercriminelen in staat om systemen en data te beschadigen. In augustus 2022 ontdekten onderzoekers een variant die kwaadaardige .zip-bestanden uitrolt. Zodra een slachtoffer het archiefbestand uitpakt wordt het systeem beschadigd vanwege een overvloed aan data. Dergelijke bestanden worden ook wel ‘zip bombs’, ‘decompression bombs’ en ‘zips of death’ genoemd.

Tot slot werd de malware onlangs gebruikt voor de verspreiding van ransomwarevariant Enigma. Cybercriminelen startte het versleutelingsproces van Enigma door een kwaadaardige HTML-extensie met ChromeLoader te openen. “Dit is een opkomende bedreiging die moet worden opgespoord vanwege het potentieel voor kwaadaardigere malware”, concludeerden de onderzoekers.

Tip: SoftwareONE werkt richting een allesomvattend security-platform