Palo Alto Networksは7月12日(米国時間)、「ChromeLoader: New Stubborn Malware Campaign」において、ChromeLoaderの調査結果とWindowsやMacを標的としたChromeLoaderの亜種を発見したことを伝えた。ChromeLoaderは2022年1月にはじめて観測されたマルウェアで、被害者のWebブラウザ拡張機能を悪用して不正にトラフィックを広告サイトにリダイレクトする機能を持つ。
ChromeLoader(Choziosi LoaderまたはChromeBackとも呼ばれる)は、主に被害者のWebブラウザをジャックして広告を表示させることを目的としている。Windows実行可能ファイル(.exe)やダイナミックリンクライブラリ(.dll)を使わず、ペイロードとしてブラウザ拡張機能を利用する点が他のマルウェアと大きく異なる。
Palo Alto Networksの調査によって、1月に発見されたWindowsを標的としたこのマルウェアはペイロードとしてChrome拡張機能(バージョン2.0〜4.4)を使用し、ドロッパーとしてPowerShellスクリプトを実行するために.NET実行可能ファイルを使うことがわかった。さらに、3月にはChrome拡張機能(バージョン6.0)を使う亜種が登場し、同時期にMacを標的とした亜種の活動も観測されている。Macを狙ったマルウェアファミリはドロッパーとしてDMGファイルを使っており、Bashスクリプトを含む複数のファイルが収められていることが判明した。
Palo Alto Networksのセキュリティ研究チームは、ChromeLoaderからは、サイバー犯罪者やマルウェアの作者がいかに決断力に優れているかということがわかると指摘している。ChromeLoaderの作成者は短期間のうちに複数の異なるバージョンをリリースし、複数のプログラミングフレームワークの使用、機能の強化、高度な難読化ツール、問題の修正、さらにはWindowsとMacOSの両方を標的としたクロスOSサポートの追加を行っていると警告している。