Devam eden, yaygın bir Chromeloader kötü amaçlı yazılım kampanyası, Microsoft ve VMware tarafından uyarıldı. Bu kötü niyetli kampanyanın, düğüm-WebKit kötü amaçlı yazılım ve fidye yazılımlarının yanı sıra tehlikeli tarayıcı uzantılarını bıraktığı tespit edildi.
ChromeLoader, VMware Carbon Black Yönetilen Algılama ve Yanıt (MDR) ekibi tarafından ilk kez Windows kullanıcıları için Ocak 2022’de ve Mac kullanıcıları için Mart 2022’de vahşi ortamda gözlemlendi.
ChromeLoader, web’deki en yaygın ve kalıcı kötü amaçlı yazılım programlarından biridir. Red Canary’den siber güvenlik araştırmacılarının kötü amaçlı yazılımın bağlı kuruluş pazarlamacıları ve reklamcılar tarafından paralarını dolandırmak için kullanıldığını teorileştirmesiyle 2022’nin ilk çeyreğinde Chromeloader enfeksiyonlarında bir artış meydana geldi.
Tıklama sahtekarlığı yapmak ve tehdit aktörleri için para kazanmak için kötü amaçlı yazılım, kullanıcı trafiğini reklam web sitelerine yönlendirmek için Chrome’a kötü amaçlı bir uzantı bulaştırır.
Teknik Analiz
Bu soruna neden olan kötü amaçlı kampanya, Chromeloader kullanarak kurbanlara birkaç farklı kötü amaçlı yazılım bulaştıran DEV-0796 olarak izlenen bir tehdit aktörüne kadar uzandı.
ChromeLoader’a ek olarak, bilinen ChromeBack ve Choziosi Loader gibi programın birkaç çeşidi vardır.
ChromeLoader adlı kötü amaçlı yazılım, aşağıdaki kaynaklardan herhangi birinden indirilebilecek ISO dosyaları biçiminde teslim edilir:-
- Kötü amaçlı reklamlar
- Tarayıcı yönlendirmeleri
- YouTube videosu yorumları
Microsoft Office makrolarını varsayılan olarak engellemeye başladıktan sonra, ISO dosyaları kötü amaçlı yazılımları dağıtmanın en popüler yöntemlerinden biri haline geldi.
Ek olarak, Windows 10 ve sonraki sürümleri, ISO dosyalarını çift tıklatıldığında otomatik olarak CDROM’lar olarak bağlar. Bunu yaparak, aynı anda birden fazla kötü amaçlı yazılım dosyasını yaymak için etkili bir yöntem sağlarlar.
ChromeLoader ISO’larında yaygın olarak bulunan dört dosya vardır: –
- Kötü amaçlı yazılımı içeren bir ZIP arşivi
- Bir ICON dosyası
- Bir toplu iş dosyası (genellikle Resources.bat olarak adlandırılır)
Daha sonra bir toplu iş programı başlatan ve kötü amaçlı yazılımla birlikte yüklenen bir toplu iş dosyası oluşturulur.
Geçtiğimiz birkaç ay içinde, VMware epeyce Chromeloader varyasyonunu test etti, ancak en ilginç olanları, VMware’in bunları ilk kez test etmeye başladığı Ağustos ayından sonra ortaya çıktı.
OpenSubtitles’ı taklit eden bir program, kullanıcıların özel bir uygulama kullanarak filmler veya TV şovları için altyazıları bulmasına olanak tanıyan ilk örnek olarak görülebilir.
Bu kampanya sırasında tehdit aktörlerinin olağan “Resources.bat” dosyasında gözle görülür bir değişiklik oldu. Bu dosya değiştirilir değiştirilmez, kötü amaçlı yazılım kayıt defterine yüklendi ve kayıt defteri dosyasına kayıt defteri anahtarları eklenerek kalıcılık sağlandı.
Enigma fidye yazılımının, bazı yeni Chromeloader türevleri kullanılarak bir HTML dosyası olarak dağıtıldığı görüldü. Enigma fidye yazılımı türü, yayılmak için JavaScript yükleme işlemini kullanan eski bir türdür.
Chromeloader başlangıçta reklam yazılımı olarak geliştirildi. Bu, tehdit aktörlerinin daha güçlü yükleri deneyerek reklam sahtekarlığına daha karlı bir alternatif bulmalarına mükemmel bir örnektir.
Ücretsiz Yazılım Yazılımını İndirin – Güvenli Web Filtreleme – E-kitap