VMware i Microsoft ostrzegają przed adware ChromeLoader

VMware oraz Microsoft wydali ostrzeżenia przed trwającą kampanią złośliwego oprogramowania ChromeLoader (znanego również jako Choziosi Loader, ChromeBack). Infekcje wspomnianym malware rozpoczęły się w I kwartale 2022 r. ChromeLoader zaraża przeglądarkę złośliwym rozszerzeniem, które ma na celu przekierowywanie ruchu do nieuczciwych witryn reklamowych, a tym samym generowanie przychodu dla cyberprzestępców.

Złośliwe oprogramowanie jest dostarczane w plikach ISO dystrybuowanych za pośrednictwem złośliwych reklam czy przekierowań przeglądarki. Pliki takie stały się popularną metodą dystrybucji malware, od kiedy Microsoft zaczął domyślnie blokować makra pakietu Office. (O innym malware wykorzystującym makra Office do dystrybucji pisaliśmy tutaj). Po uruchomieniu pliku ISO jest on montowany jako CD-ROM, a to czyni go skutecznym sposobem na dystrybucję wielu plików złośliwego oprogramowania jednocześnie.

Jednym z wariantów malware jest program podszywający się pod OpenSubtitles – narzędzie służące do pobierania napisów do filmów czy seriali. W tej kampanii cyberprzestępcy zastąpili plik resources.batinnym o nazwie properties.bat. Plik służy do instalacji złośliwego oprogramowania i dodania kluczy rejestru.

Innym, godnym uwagi przypadkiem jest flbmusic.exe,naśladujący odtwarzacz muzyczny FLB Music. Działa on w środowisku Electron i umożliwia ładowanie dodatkowych modułów do komunikacji sieciowej i podsłuchiwanie portów.

Niektóre warianty są bardzo destrukcyjne za sprawą zrzucania na zainfekowane systemy bomb dekompresyjnych (ZipBomb). Jak wyjaśnia raport VMware, bomby te niszczą systemy, przeciążając go danymi.

Najbardziej niepokojące jednak są odmiany ChromeLoadera, które mają możliwość wdrażania oprogramowania ransomware Enigma w pliku HTML. Enigma korzysta z instalatora opartego na JavaScript i wbudowanego pliku wykonywalnego. Dzięki temu jest możliwa do uruchomienia bezpośrednio z domyślnej przeglądarki.

Adware przeważnie samo z siebie nie wyrządza większych szkód w zainfekowanych systemach. Poza pożeraniem przepustowości i irytowaniem użytkownika może się wydawać, że nie stanowi większego zagrożenia i najczęściej jest bagatelizowane nawet przez analityków.

Warto pamiętać jednak o tym, że  każde oprogramowaniezagnieżdżone w systemie bez wykrycia potencjalnie może prowadzić do poważniejszych kłopotów. Jest tak z prostego powodu – kreatywność cyberprzestępców nie zna granic. Jak widać po przykładzie ChromeLoadera, kolejne jego modyfikacje stwarzają coraz większe zagrożenie. Cyberprzestępcy wciąż eksperymentują z coraz potężniejszymi ładunkami, badając coraz bardziej dochodowe alternatywy.

Źródło: https://www.bleepingcomputer.com/news/security/vmware-microsoft-warn-of-widespread-chromeloader-malware-attacks/