נוזקה חדשה בשם Shampoo עושה שימוש ב- ChromeLoader ומכוונת לפגיעה במבקרים באתרי סרטים ובאתרי סרטים פיראטיים. גילוי זה מגיע מצוות מחקר האיומים של HP (Wolf Security), אשר מדווח כי הנוזקה פעילה מאז מרץ 2023.
ChromeLoader הינו חוטף דפדפן אשר מתקין בכוח תוספי דפדפן המפנים מחדש את תוצאות החיפוש כדי לקדם הורדת נוזקות, רישום לקבלת מתנות מזויפות, השתתפות בסקרים, הרודת משחקים למבוגרים, הרשמה לאתרי היכרויות ותוצאות לא רלוונטיות אחרות. לפני כשנה דיווחו אנליסטים ב- Red Canary על עלייה פתאומית בהפצת ChromeLoader שהחלה בפברואר 2022, הכוללת כעת את macOS יחד עם Windows. בספטמבר הזהירו VMware ו- Microsoft מפני מסע מתקפות סייבר נוסף של ChromeLoader הכולל את היכולת להוריד נוזקות נוספות, כולל כופרות. לאחרונה בפברואר 2023, גילו חוקרי אבטחה ב- ASEC מסע מתקפות סייבר שבו הופצו נוזקות ChromeLoader בקבצי VHD הנקראים על שם משחקי וידאו פופולריים.
האנליסטים של HP מדווחים כי בקמפיין שהחל במרץ 2023, מופץ ChromeLoader באמצעות רשת של אתרים זדוניים המבטיחים הורדות חינם של מוזיקה, סרטים או משחקי וידאו המוגנים בזכויות יוצרים. במקום קבצי מדיה לגיטימיים או תוכנות, מורידים הקורבנות VBScripts המבצעים סקריפטים של PowerShell ומגדירים משימה מתוזמנת עם קידומת "chrome_". פעולה זו מפעילה סדרה של סקריפטים המורידים סקריפט PowerShell חדש לרישום של המארח בשם "HKCU:\Software\Mirage Utilities\" ומצרף את נוזרת Shampoo. נוזקה זו הינה גרסה של ChromeLoader המסוגלת להחדיר פרסומות באתרים שבהם מבקר הקורבן ולבצע הפניות מחדש של שאילתות חיפוש.
בדוגמה שנותחה על ידי חוקרי אתר BleepingComputer, מופנים חיפושים מסרגל הכתובות של הדפדפן או מגוגל, תחילה לאתר בכתובת ythingamgladt[.]com ולאחר מכן לתוצאות החיפוש של Bing. לאחר התקנת התוסף הזדוני, הוא מונע מהקורבן לגשת למסך ההרחבות של Chrome. המשתמשים מופנים למסך הגדרות Chrome כאשר הם מנסים לעשות זאת.
פעולתה של נוזקת הפרסום נחשבת לבעלת מוטיבציה פיננסית, במטרה לייצר הכנסה מהפניות חיפוש ופרסומות. כמובן, מבחינים הקורבנות בהפניות מחדש הללו, מכיוון שהם לא מקבלים את מה שהם מחפשים בגוגל ובכל זאת, הסרת הנוזקה הזו היא מסובכת: הנוזקה מסתמכת על סקריפטים בלולאה ומשימה מתוזמנת של Windows כדי להתקין מחדש את התוסף בכל פעם שהקורבן מסיר אותה או מאתחל את המכשיר שלו. לפיכך, אם יאתחל הקורבן את המחשב תושבת הנוזקה של Chrome זמנית, אך היא תותקן מחדש במהירות.
כדי להיפטר מהנוזקה טוענת HP Wolf Security שמשתמשים יכולים לבצע את השלבים הבאים: להסיר את כל המשימות המתוזמנות עם הקידומת "chrome_". משימות לגיטימיות מתוזמנות של Chrome מקבלות בדרך כלל קידומת "Google"; למחוק את מפתח הרישום "HKCU\Software\Mirage Utilities\"; לאחר מכן להפעיל מחדש את המחשב. חוקרי אתר BleepingComputer מצאו גם את הסקריפטים של PowerShell מחלצים את התוסף הזדוני לתיקיית 'C:\Users\<user>\appdata\local\chrome_test', שאותה יש למחוק אם היא קיימת. HP מדגישה כי יש להשלים את שלבי ההסרה הללו במהירות לפני שסקריפט הלולאה יתקין מחדש את הנוזקה.
HP גם טוענים כי עובדים בסביבות ארגוניות שנדבקו ב- ChromeLoader עלולים להסס לפנות לעזרה מעמיתיהם במחלקת ה- IT בשל חשש מההשלכות של הפרת מדיניות המעסיק שלהם על ידי הורדת תוכנה ממקורות מפוקפקים. עם זאת, אין להתעלם או להמעיט מהאיום של נוזקת פרסום, מכיוון שזה עדיין סוס טרויאני הפועל על מערכת המחשוב ועלול לנסות לגרום נזק משמעותי יותר בכל עת, אם המפעילים שלו יחליטו לחפש מסלולי מונטיזציה אגרסיביים יותר.
