Güvenlik araştırmacıları, ChromeLoader tarayıcı kaçırma ve reklam yazılımı kampanyasının operatörlerinin artık popüler oyunların adını taşıyan VHD dosyalarını kullandıklarını fark ettiler. Önceden, bu tür kampanyalar ISO tabanlı dağıtıma dayanıyordu.
Kötü amaçlı dosyalar, Ahnlab Güvenlik Acil Durum Müdahale Merkezi (ASEC) üyesi tarafından popüler oyunlar için Google arama sonuçları aracılığıyla keşfedildi.
Reklam yazılımı dağıtımı amacıyla kötüye kullanılan oyun başlıkları arasında Elden Ring, ROBLOX, Dark Souls 3, Red Dead Redemption 2, Need for Speed, Call of Duty, Portal 2, Minecraft, Legend of Zelda, Pokemon, Mario Kart, Animal Crossing ve Daha.
Bir kötü amaçlı reklam siteleri ağı, ChromeLoader uzantısını yükleyen, oyunla ilgili yasal paketler gibi görünen kötü amaçlı dosyaları dağıtır.
ChromeLoader, reklamları göstermek için tarayıcı aramalarını ele geçirir. Itt ayrıca tarayıcı ayarlarını değiştirir ve kimlik bilgilerini ve tarayıcı verilerini toplar.
Red Canary verilerine göre, kötü amaçlı yazılım Mayıs 2022’de daha yaygın hale geldi. Eylül 2022’de VMware, daha karmaşık ağ etkinlikleri gerçekleştiren yeni varyantlar bildirdi. Bazı durumlarda oyuncu, Enigma fidye yazılımını bile teslim etti.
2022 boyunca görülen tüm vakalarda, ChromeLoader hedef sisteme bir ISO dosyası olarak ulaştı. Son zamanlarda, operatörler VHD paketlemeyi tercih ediyor gibi görünüyor.
VHD dosyaları bir Windows sistemine kolayca monte edilebilir ve çoklu sanallaştırma yazılımı tarafından desteklenir.
Görüntüler birkaç dosya içeriyor ancak bunlardan yalnızca biri, “Install.lnk” adlı bir kısayol görünüyor. Kısayolu dağıtmak, bir ZIP arşivinin içeriğini açan bir toplu komut dosyasının yürütülmesini tetikler.
Bir sonraki adımda, toplu iş dosyası uzak bir kaynaktan son yükü getiren “data.ini”, bir VBScript ve bir JavaScript yürütür.
ASEC’e göre ChromeLoader, reklam sitelerine yönlendirme yapmaya başlayacak ve böylece operatörleri için gelir elde edecek.
Araştırmacılar, yükü barındıran adreslere artık erişilemeyeceğini söylüyor. ChromeLoader’ın oluşturduğu ve yürüttüğü kötü amaçlı Chrome uzantısının, tarayıcıda depolanan kimlik bilgilerini de toplayabileceğini belirtiyorlar.
ASEC’in raporu, ChromeLoader tehdidinin algılanmasına yardımcı olabilecek kısa bir güvenlik ihlali göstergeleri seti sağlar.
Kullanıcılara resmi olmayan kaynaklardan oyun indirmekten kaçınmaları ve genellikle yüksek güvenlik riskine sahip oldukları için popüler ürünler için crack’lerden uzak durmaları önerilir.