Yeni bir ChromeLoader kötü amaçlı yazılım kampanyasının, sanal sabit disk (VHD) dosyaları aracılığıyla dağıtıldığı gözlemlendi ve bu, ISO optik disk görüntü biçiminden bir sapmaya işaret ediyor.
AhnLab Güvenlik Acil Müdahale Merkezi (ASEC) geçen hafta bir raporda, “Bu VHD dosyaları, Nintendo ve Steam oyunları için hack veya crack gibi görünmelerini sağlayan dosya adlarıyla dağıtılıyor.”
ChromeLoader (namı diğer Choziosi Loader veya ChromeBack), ilk olarak Ocak 2022’de tarayıcıları ele geçiren bir kimlik bilgisi hırsızı olarak ortaya çıktı, ancak o zamandan beri hassas verileri çalabilen, fidye yazılımları dağıtabilen ve hatta açma bombaları atabilen daha güçlü, çok yönlü bir tehdide dönüştü.
Kötü amaçlı yazılımın birincil amacı, Google Chrome gibi web tarayıcılarının güvenliğini aşmak ve tarayıcı ayarlarını değiştirerek trafiği şüpheli reklam web sitelerine yönlendirmektir. Dahası, ChromeLoader, tıklamalardan para kazanmak için bir tarayıcı uzantısından yararlanarak tıklama sahtekarlığı gerçekleştirmek için bir kanal olarak ortaya çıktı.
Kötü amaçlı yazılım sahneye çıktığından beri, çoğu hem Windows hem de macOS sistemlerine girme yetenekleriyle donatılmış birden çok sürümden geçti. VHD dosyalarına geçiş, kampanyanın son birkaç ayda birçok değişiklik geçirdiğinin bir başka işaretidir.
Bulaşma zinciri, korsan yazılım ve video oyunu hileleri arayan kullanıcıların ana hedef olduğunu gösterir ve arama sonuçları sayfalarında görünen sahte web sitelerinden VHD dosyalarının indirilmesine yol açar.
Kullanılan oyun başlıklarından ve popüler yazılımlardan bazıları Elden Ring, Dark Souls III, Red Dead Redemption 2, Need for Speed, Call of Duty, The Legend of Zelda: Breath of the Wild, Mario Kart 8 Deluxe, Super Mario Odyssey, Microsoft’tur. Office ve Adobe Photoshop.
ASEC araştırmacıları, “Bu işlem aracılığıyla bir VHD dosyası indirildiğinde, kullanıcı kötü amaçlı VHD dosyasını oyunla ilgili bir program sanarak kolayca karıştırabilir.” “Kötü amaçlı yazılımları oyun hackleri ve crack programları olarak gizlemek, birçok tehdit aktörü tarafından kullanılan bir yöntemdir.”
Bu tür riskleri azaltmak için, kullanıcıların şüpheli bağlantıları takip etmekten kaçınmaları ve yalnızca resmi kaynaklardan yazılım indirmeleri önerilir.