VMware ve Microsoft, daha tehlikeli bir tehdide dönüşen, kötü amaçlı tarayıcı uzantılarını, düğüm-WebKit kötü amaçlı yazılımlarını ve hatta bazı durumlarda fidye yazılımlarını bıraktığı görülen, devam eden, yaygın bir Chromeloader kötü amaçlı yazılım kampanyası konusunda uyarıda bulunuyor.
Chromeloader enfeksiyonları Q1 2022’de yükseldiRed Canary’deki araştırmacılar, pazarlama ilişkisi ve reklam sahtekarlığı için kullanılan tarayıcı korsanının tehlikeleri hakkında uyarıda bulundu.
O zamanlar, kötü amaçlı yazılım Chrome’a, tıklama sahtekarlığı yapmak ve tehdit aktörleri için gelir elde etmek için kullanıcı trafiğini reklam sitelerine yönlendiren kötü amaçlı bir uzantı bulaştırdı.
Birkaç ay sonra, Palo Alto Network’ün 42. Birimi, Chromeloader’ın bilgi hırsızına dönüşmekreklam yazılımı işlevlerini korurken tarayıcılarda depolanan verileri yakalamaya çalışıyor.
Cuma akşamı, Microsoft uyardı kurbanlara çeşitli kötü amaçlı yazılım bulaştırmak için Chromeloader kullanarak DEV-0796 olarak izlenen bir tehdit aktörüne atfedilen “devam eden geniş kapsamlı tıklama sahtekarlığı kampanyası” hakkında.
Bugün analistler, sanal makine yazılımı ağustos ve bu ay kullanılan ve bazıları çok daha güçlü yükleri düşüren farklı Chromeloader türevlerini açıklayan bir teknik rapor yayınladı.
Kötü amaçlı yazılım bırakan yeni varyantlar
ChromeLoader kötü amaçlı yazılımı, kötü amaçlı reklamlar, tarayıcı yönlendirmeleri ve YouTube video yorumları aracılığıyla dağıtılan ISO dosyalarında teslim edilir.
ISO dosyaları var kötü amaçlı yazılım dağıtmak için popüler bir yöntem haline geldi dan beri Microsoft, Office makrolarını engellemeye başladı varsayılan olarak. Ayrıca, Windows 10 ve sonraki sürümlerde bir ISO’ya çift tıklandığında, bunlar otomatik olarak yeni bir sürücü harfi altında bir CDROM olarak monte edilir ve bu da onları aynı anda birden fazla kötü amaçlı yazılım dosyasını dağıtmanın etkili bir yolu haline getirir.
ChromeLoader ISO’ları genellikle dört dosya, kötü amaçlı yazılımı içeren bir ZIP arşivi, bir ICON dosyası, kötü amaçlı yazılımı yükleyen bir toplu iş dosyası (genellikle Resources.bat olarak adlandırılır) ve toplu iş dosyasını başlatan bir Windows kısayolu içerir.
Araştırmalarının bir parçası olarak VMware, yılın başından bu yana en az on Chromeloader varyantını örnekledi ve en ilginç olanı Ağustos’tan sonra ortaya çıktı.
İlk örnek, kullanıcıların filmler ve TV şovları için altyazıları bulmasına yardımcı olan bir yardımcı program olan OpenSubtitles’ı taklit eden bir programdır. Bu kampanyada, tehdit aktörleri her zamanki “Resources.bat” dosyasından uzaklaştı ve kötü amaçlı yazılımı yüklemek ve Kayıt anahtarları ekleyerek kalıcılık sağlamak için kullanılan “properties.bat” adlı bir dosyaya geçti.
Dikkate değer başka bir durum da, FLB Müzik çaları taklit eden, Electron çalışma zamanına sahip ve kötü amaçlı yazılımın ağ iletişimi ve bağlantı noktası gözetleme için ek modüller yüklemesini sağlayan “Flbmusic.exe”dir.
Bazı varyantlar için, saldırılar biraz yıkıcı hale geldi ve büyük bir paket açma işlemiyle sistemi aşırı yükleyen ZipBomb’ları çıkardı.
“Ağustos sonlarında, ZipBomb’ların virüslü sistemlere bırakıldığı görüldü. ZipBomb, kullanıcının indirdiği arşivdeki ilk enfeksiyonla birlikte düştü. Kullanıcı, ZipBomb’un çalışması için çift tıklamalıdır. Çalıştırıldığında, kötü amaçlı yazılım yok eder. kullanıcının sistemini verilerle aşırı yükleyerek,” diye açıklıyor VMware’in raporu.
Daha da önemlisi, en son Chromeloader varyantlarının Enigma fidye yazılımını bir HTML dosyasında dağıttığı görüldü.
Enigma bir eski fidye yazılımı türü JavaScript tabanlı bir yükleyici ve yerleşik bir yürütülebilir dosya kullanarak doğrudan varsayılan tarayıcıdan başlatılabilir.
Şifreleme tamamlandıktan sonra, “.enigma” dosya adı uzantısı dosyalara eklenirken, fidye yazılımı bir “beni oku.txt” kurbanlar için talimatları içeren dosya.
Reklam yazılımı göz ardı edilmemelidir
Reklam yazılımları, kurbanların sistemlerinde kayda değer bir hasar oluşturmadığından, bant genişliğini tüketmenin yanı sıra, analistler tarafından genellikle göz ardı edilen veya önemsiz görülen bir tehdittir.
Bununla birlikte, algılanmadan sistemlere yuvalanan her yazılım, yazarları daha agresif para kazanma seçeneklerini kolaylaştıran değişiklikler uygulayabileceğinden, daha önemli sorunlara adaydır.
Chromeloader reklam yazılımı olarak başlamış olsa da, tehdit aktörlerinin daha güçlü yüklerle denemeler yaparak reklam sahtekarlığına karşı daha karlı alternatifleri nasıl keşfettiklerinin mükemmel bir örneğidir.