Istraživači kompanije Doctor Web otkrili su novi malver nazvan ChrimeraWire, trojanca koji služi za manipulaciju rangiranjem u pretraživačima tako što simulira stvarno ponašanje korisnika u Google Chrome-u.
Za razliku od tradicionalnih trojanaca, ChrimeraWire je fokusiran na generisanje lažnog veb saobraćaja i povećanje vidljivosti određenih sajtova. To postiže automatskim pokretanjem pretraga, otvaranjem određenih sajtova i klikovima na linkove preko skrivenog Chrome-a kojeg preuzima i pokreće u debug modu.
Malver se ne isporučuje direktno, već stiže kao posljednji korak u višefaznoj infekciji. Doctor Web opisuje dva različita lanca infekcije koja vode do njegove instalacije, a oba uključuju downloader trojance, eskalaciju privilegija i tehnike za trajnu infekciju sistema.
Prvi lanac počinje programom za preuzimanje koji provjerava da li je sistem virtuelna mašina. Ako izgleda kao pravi računar, malver preuzima Python skriptu i maliciozni DLL i koristi poznati Windows DLL hijacking za podizanje privilegija. Na kraju koristi potpisani OneDrive program da učita dodatni DLL, što vodi do instalacije ChrimeraWire-a.
Drugi lanac koristi downloader koji imitira legitimni Windows proces i patch-uje sistemsku biblioteku kako bi pokrenuo sopstveni payload, a zatim zloupotrebljava stare ranjivosti COM interfejsa da bi dobio administratorska prava. Nakon toga koristi zakazane zadatke i DLL hijacking da aktivira isti finalni modul.
Nakon instalacije, malver preuzima specifičnu verziju Chrome-a sa sajta koji nije Google-ov, dodaje ekstenzije za zaobilaženje CAPTCHA provjera, pokreće Chrome u skrivenom prozoru i povezuje se sa C2 serverom.
Server šalje šifrovana uputstva koja određuju šta da pretražuje, koje sajtove da otvara, koliko klikova da simulira i koliko dugo da pauzira između radnji koje obavlja.
Sve je osmišljeno tako da izgleda kao pravo ponašanje korisnika, sa slučajnim pauzama, naizgled prirodnim klikovima i miješanjem rezultata pretrage. Ovo otežava detekciju bot zaštita i može prevariti pretraživače da pomisle da ciljni sajtovi imaju organski saobraćaj.
ChrimeraWire već sada može čitati sadržaj stranica, praviti skrinšotove, pa čak i popunjavati veb forme. Iako ove funkcije trenutno nisu u upotrebi, istraživači upozoravaju da bi buduće verzije mogle biti znatno agresivnije - od masovnog scraping-a podataka do šire automatizacije nelegalnih SEO kampanja.
Za sada, glavna svrha malvera je pumpanje lažnog saobraćaja za sumnjivi affiliate marketing i manipulaciju rangiranjem u Google i Bing pretragama.
(Informacija.rs/Mondo)