VMware oraz Microsoft wydali ostrzeżenia przed trwającą kampanią złośliwego oprogramowania ChromeLoader (znanego również jako Choziosi Loader, ChromeBack). Infekcje wspomnianym malware rozpoczęły się w I kwartale 2022 r. ChromeLoader zaraża przeglądarkę złośliwym rozszerzeniem, które ma na celu przekierowywanie ruchu do nieuczciwych witryn reklamowych, a tym samym generowanie przychodu dla cyberprzestępców.
W połowie roku badacze z Palo Alto Networks zauważyli ewolucję ChromeLoadera w kierunku wykradania informacji z przeglądarek, przy jednoczesnym zachowaniu funkcji adware. Na chwilę obecną natomiast uwagę badaczy z Microsoft zwróciła kampania z użyciem ChromeLoadera, która ma na celu infekowanie ofiar różnymi złośliwymi programami.
Działanie ChromeLoadera
Złośliwe oprogramowanie jest dostarczane w plikach ISO dystrybuowanych za pośrednictwem złośliwych reklam czy przekierowań przeglądarki. Pliki takie stały się popularną metodą dystrybucji malware, od kiedy Microsoft zaczął domyślnie blokować makra pakietu Office. (O innym malware wykorzystującym makra Office do dystrybucji pisaliśmy tutaj). Po uruchomieniu pliku ISO jest on montowany jako CD-ROM, a to czyni go skutecznym sposobem na dystrybucję wielu plików złośliwego oprogramowania jednocześnie.
Zawartość archiwum ISO to archiwum ZIP ze złośliwym oprogramowaniem, plik ICON, plik wsadowy nazwany zazwyczaj resources.bat. Plik wsadowy ma na celu instalację malware. Oprócz tego archiwum zawiera skrót systemu Windows, który uruchamia plik wsadowy.
Analitycy z VMware przetestowali w tym roku co najmniej dziesięć różnych wariantów ChromeLoadera. Najciekawsze z nich zaczęły pojawiać się w okolicach sierpnia.
ChromeLoader posiada różne warianty
Jednym z wariantów malware jest program podszywający się pod OpenSubtitles – narzędzie służące do pobierania napisów do filmów czy seriali. W tej kampanii cyberprzestępcy zastąpili plik resources.bat innym o nazwie properties.bat. Plik służy do instalacji złośliwego oprogramowania i dodania kluczy rejestru.
Innym, godnym uwagi przypadkiem jest flbmusic.exe, naśladujący odtwarzacz muzyczny FLB Music. Działa on w środowisku Electron i umożliwia ładowanie dodatkowych modułów do komunikacji sieciowej i podsłuchiwanie portów.
Niektóre warianty są bardzo destrukcyjne za sprawą zrzucania na zainfekowane systemy bomb dekompresyjnych (ZipBomb). Jak wyjaśnia raport VMware, bomby te niszczą systemy, przeciążając go danymi.
Najbardziej niepokojące jednak są odmiany ChromeLoadera, które mają możliwość wdrażania oprogramowania ransomware Enigma w pliku HTML. Enigma korzysta z instalatora opartego na JavaScript i wbudowanego pliku wykonywalnego. Dzięki temu jest możliwa do uruchomienia bezpośrednio z domyślnej przeglądarki.
Adware – realne zagrożenie czy irytujący wirus?
Adware przeważnie samo z siebie nie wyrządza większych szkód w zainfekowanych systemach. Poza pożeraniem przepustowości i irytowaniem użytkownika może się wydawać, że nie stanowi większego zagrożenia i najczęściej jest bagatelizowane nawet przez analityków.
Warto pamiętać jednak o tym, że każde oprogramowanie zagnieżdżone w systemie bez wykrycia potencjalnie może prowadzić do poważniejszych kłopotów. Jest tak z prostego powodu – kreatywność cyberprzestępców nie zna granic. Jak widać po przykładzie ChromeLoadera, kolejne jego modyfikacje stwarzają coraz większe zagrożenie. Cyberprzestępcy wciąż eksperymentują z coraz potężniejszymi ładunkami, badając coraz bardziej dochodowe alternatywy.
Źródło: https://www.bleepingcomputer.com/news/security/vmware-microsoft-warn-of-widespread-chromeloader-malware-attacks/
Grafika: freepik
Redaktorka Net Complex Blog
