Η VMware και η Microsoft προειδοποιούν για μια συνεχιζόμενη, ευρέως διαδεδομένη καμπάνια Chromeloader malware που έχει εξελιχθεί σε πιο επικίνδυνη απειλή, με το drop κακόβουλων browser extensions, malware node-WebKit και ακόμη και ransomware σε ορισμένες περιπτώσεις.
Οι μολύνσεις από Chromeloader αυξήθηκαν το 1ο τρίμηνο του 2022, με τους ερευνητές της Red Canary να προειδοποιούν για τους κινδύνους του browser hijacker που χρησιμοποιείται για marketing affiliation και διαφημιστική απάτη.
Τότε, το malware μόλυνε τον Chrome με μια κακόβουλη επέκταση που ανακατεύθυνε την επισκεψιμότητα των χρηστών σε advertising sites για να πραγματοποιήσει click fraud και να δημιουργήσει εισόδημα για τους απειλητικούς παράγοντες.
Λίγους μήνες αργότερα, η Unit 42 του Palo Alto Network παρατήρησε ότι ο Chromeloader εξελισσόταν σε ένα σύστημα κλοπής πληροφοριών, προσπαθώντας να αρπάξει δεδομένα που ήταν αποθηκευμένα στα προγράμματα περιήγησης διατηρώντας παράλληλα τις adware λειτουργίες του.
H Newpark Resources χτυπήθηκε από Ransomware
Πρόστιμο ΜΕΤΑ: Παράνομη Συλλογή Δεδομένων στην Νότια Κορέα
Έργο τέχνης του ρομπότ Ai-Da πωλήθηκε για $ 1,3 εκατ.
Το βράδυ της Παρασκευής, η Microsoft προειδοποίησε για μια “συνεχιζόμενη ευρείας κλίμακας εκστρατεία click fraud” που αποδίδεται σε έναν παράγοντα απειλής που παρακολουθείται ως DEV-0796 χρησιμοποιώντας το Chromeloader για να μολύνει τα θύματα με διάφορα κακόβουλα προγράμματα.
Σήμερα, οι αναλυτές της VMware δημοσίευσαν μια τεχνική έκθεση που περιγράφει διάφορες παραλλαγές του Chromeloader που χρησιμοποιήθηκαν τον Αύγουστο και αυτόν τον μήνα, μερικές από τις οποίες κάνουν drop πολύ πιο ισχυρά payloads.
Νέες παραλλαγές που κάνουν drop malware
Το κακόβουλο λογισμικό ChromeLoader παραδίδεται σε αρχεία ISO που διανέμονται μέσω κακόβουλων διαφημίσεων, browser redirects και σχολίων βίντεο YouTube.
Τα αρχεία ISO έχουν γίνει μια δημοφιλής μέθοδος διανομής malware από τότε που η Microsoft άρχισε να αποκλείει τα Office macros από προεπιλογή. Επιπλέον, όταν κάνετε διπλό κλικ σε ένα ISO στα Windows 10 και νεότερες εκδόσεις, τοποθετούνται αυτόματα ως CDROM κάτω από ένα νέο drive letter, καθιστώντας τα έναν αποτελεσματικό τρόπο διανομής πολλαπλών αρχείων κακόβουλου λογισμικού ταυτόχρονα.
Τα ChromeLoader ISOs συνήθως περιέχουν τέσσερα αρχεία, ένα αρχείο ZIP που περιέχει το malware, ένα αρχείο ICON, ένα batch file (κοινώς ονομάζεται Resources.bat) που εγκαθιστά το κακόβουλο λογισμικό και μια συντόμευση των Windows που εκκινεί το batch file.
Ως μέρος της έρευνάς της, η VMware εξέτασε τουλάχιστον δέκα παραλλαγές Chromeloader από την αρχή του έτους, με τις πιο ενδιαφέρουσες να εμφανίζονται μετά τον Αύγουστο.
Το πρώτο παράδειγμα είναι ένα πρόγραμμα που μιμείται το OpenSubtitles, ένα βοηθητικό πρόγραμμα που βοηθά τους χρήστες να εντοπίσουν τους υπότιτλους για ταινίες και τηλεοπτικές εκπομπές. Σε αυτήν την καμπάνια, οι απειλητικοί φορείς απομακρύνθηκαν από το συνηθισμένο τους αρχείο “Resources.bat” και άλλαξαν σε ένα με το όνομα “properties.bat”, που χρησιμοποιείται για την εγκατάσταση του κακόβουλου λογισμικού και τη δημιουργία persistence προσθέτοντας Registry keys.
Μια άλλη αξιοσημείωτη περίπτωση είναι το “Flbmusic.exe”, που μιμείται το FLB Music player, που διαθέτει χρόνο εκτέλεσης Electron και επιτρέπει στο κακόβουλο λογισμικό να φορτώνει πρόσθετες μονάδες για επικοινωνία δικτύου και παρακολούθηση θυρών.
Για ορισμένες παραλλαγές, οι επιθέσεις έγιναν λίγο καταστροφικές, εξάγοντας ZipBomb που υπερφορτώνουν το σύστημα με μια τεράστια λειτουργία unpacking.
“Πρόσφατα στα τέλη Αυγούστου, τα ZipBombs έχουν παρατηρηθεί να απορρίπτονται σε μολυσμένα συστήματα. Το ZipBomb απορρίπτεται με την αρχική μόλυνση στο αρχείο που κατεβάζει ο χρήστης. Ο χρήστης πρέπει να κάνει διπλό κλικ για να εκτελεστεί το ZipBomb. Μόλις εκτελεστεί, το κακόβουλο λογισμικό καταστρέφει το σύστημα του χρήστη υπερφορτώνοντάς το με δεδομένα», εξηγεί η αναφορά της VMware.
Ακόμη πιο ανησυχητικό, πρόσφατες παραλλαγές του Chromeloader έχουν παρατηρηθεί να αναπτύσσουν το Enigma ransomware σε ένα αρχείο HTML.
Το Enigma είναι ένα παλιό στέλεχος ransomware που χρησιμοποιεί ένα πρόγραμμα εγκατάστασης που βασίζεται σε JavaScript και ένα ενσωματωμένο εκτελέσιμο αρχείο, ώστε να μπορεί να εκκινηθεί απευθείας από το προεπιλεγμένο πρόγραμμα περιήγησης.
Αφού ολοκληρωθεί η κρυπτογράφηση, η επέκταση ονόματος αρχείου “.enigma” προστίθεται στα αρχεία, ενώ το ransomware κάνει drop ένα αρχείο “readme.txt” που περιέχει οδηγίες για τα θύματα.
Το Adware δεν πρέπει να αγνοηθεί
Επειδή το adware δεν προκαλεί αξιοσημείωτη ζημιά στα συστήματα των θυμάτων, εκτός από το να καταναλώνει κάποιο bandwidth, είναι συνήθως μια απειλή που αγνοείται ή υποβαθμίζεται από τους αναλυτές.
Ωστόσο, κάθε λογισμικό που ενσωματώνεται σε συστήματα χωρίς να ανιχνεύεται είναι υποψήφιο για πιο σημαντικά προβλήματα, καθώς οι δημιουργοί του ενδέχεται να εφαρμόσουν τροποποιήσεις που διευκολύνουν πιο επιθετικές επιλογές δημιουργίας εσόδων.
Ενώ το Chromeloader ξεκίνησε ως adware, είναι ένα τέλειο παράδειγμα του τρόπου με τον οποίο οι απειλητικοί φορείς πειραματίζονται με πιο ισχυρά payloads, εξερευνώντας πιο κερδοφόρες εναλλακτικές λύσεις για τη διαφημιστική απάτη.
Πηγή πληροφοριών: bleepingcomputer.com