米Red Canaryのセキュリティチームが5月25日(現地時間)、公式ブログ「ChromeLoader: a pushy malvertiser」において、「ChromeLoader」と呼ばれるマルウェアの活動が活発化している兆しがあると警告している。ChromeLoaderは被害者のWebブラウザ設定を変更してトラフィックを不正に広告サイトにリダイレクトするタイプのマルウェアで、2022年の初め頃に確認された。

ChromeLoaderは海賊版のゲームアプリや映画、テレビ番組などを装った実行ファイルに潜んでユーザーのPCにインストールされる。本体はWebブラウザの拡張機能であり、検索クエリを乗っ取ったり、トラフィックを不正にコントロールして無関係なサイトにリダイレクトしたりする。

この種類のマルウェアは直接的な被害は比較的小さいとされているが、ChromeLoaderは、PowerShellを悪用して他の拡張機能をWebブラウザにインストールする機能を持っている点には注意する必要があると指摘されている。この機能によって、将来的にはChromeLoaderがより大きな脅威の足掛かりとして使われる可能性がある。

  • ChromeLoaderによって生成されたエンコードされたPowerShellコマンド(引用:Red Canary)

    ChromeLoaderによって生成されたエンコードされたPowerShellコマンド 引用:Red Canary

なお、ChromeLoaderはもともとGoogle Chromeの拡張機能として開発されたが、4月下旬頃からChromeとSafariの両方を標的としたChromeLoaderのmacOSバージョンの存在も確認されているという。

Red Canaryのレポートには、このマルウェアの検出に役立つガイダンスもまとめられている。