Palo Alto Networks Unit 42’deki güvenlik araştırmacıları tarafından web sitelerinden bilgi çalan bir kötü amaçlı yazılım olan ChromeLoader’ın yeni varyantları keşfedildi ve bu, kötü amaçlı yazılımın zaman içinde özelliklerini ne kadar hızlı geliştirdiğini gösterdi.
ChromeLoader gibi kötü amaçlı yazılımlar, reklamları görüntülemek için kurbanların tarayıcı aramalarını ele geçirir ve tarayıcı arama motoru sonuçlarını hackler.
Ocak 2022’de ChromeLoader, keşfetti ve URL’ye ekli QR kodları kullanılarak Twitter gibi sitelerden ve ücretsiz oyun sitelerinden indirilebilen ISO veya DMG dosyaları olarak dağıtılmaktadır.
Bir dizi siber güvenlik grubu, ChromeLoader’a aşağıdaki adları da vermiştir:-
- Choziosi Yükleyici
- ChromeBack
Farklı Varyantlar
Aşağıda, bu kötü amaçlı yazılımın tüm farklı türevlerinden bahsettik:-
- Varyant 0: Gerçek İlk Windows Varyantı
- Varyant 1: Enfeksiyon Vektörü
- Varyant 2: İkinci Windows Varyantı
- MacOS Varyantı
Teknik Analiz
Söz konusu reklam yazılımı söz konusu olduğunda, bunun Windows için bir yürütülebilir dosya (.exe) veya Dinamik Bağlantı Kitaplığı (.dll) yerine tarayıcı için bir uzantı olarak hazırlanmış olması dikkat çekicidir.
Genel bir kural olarak, bu enfeksiyonlar, kullanıcıları sahte film torrentleri veya sahte kırık video oyunları ve yazılımları indirmeye çekmeyi amaçlayan yükleme başına ödeme sitelerinde ve sosyal medyada kötü amaçlı reklam kampanyaları yoluyla yayılır.
Ayrıca, aşağıdakiler gibi arama motorlarını kullanan kullanıcılar tarafından gerçekleştirilen tüm aramaları engelleyebilecek şekilde tasarlanmıştır:-
Bu, tehdit aktörlerinin, web tarayıcı verilerine erişerek ve web isteklerini manipüle ederek kullanıcıların çevrimiçi etkinlikleri hakkında hassas bilgiler toplamasına olanak tanır.
Başlangıçta, ChromeLoader kötü amaçlı yazılımı Ocak ayında Windows kullanıcılarını hedef alırken, Mart ayında macOS kullanıcılarını hedef alan bir macOS varyantı görüldü.
İlk bildirilen saldırı Aralık 2021’de gerçekleşmesine rağmen, kötü amaçlı yazılıma atfedilen birkaç saldırı var. Bu durumda, yürütülebilir dosya, şu anda yaygın olarak görülen ISO dosyalarının aksine bir AutoHotKey derleyicisi kullanılarak oluşturuldu.
Ayrıca, bu kötü amaçlı yazılımın ilk sürümünün şaşırtma yeteneklerinden yoksun olduğu da iddia ediliyor. Kötü amaçlı yazılımın sonraki yinelemelerinde, amacı ve kötü amaçlı yazılımın arkasındaki kötü amaçlı kodu gizlemek için bu özellik dahil edilmiştir.
Bu saldırı zincirinden açıkça görülüyor ki, kötü amaçlı yazılım yazarları arasında, güvenlik ürünlerinin ve hatta ortalama kullanıcıların bilmesi gereken, ISO (ve DMG) dosyalarının yanı sıra tarayıcı uzantılarının kullanımı – popülerlik kazanıyor.
bizi takip edebilirsiniz Linkedin, heyecan, Facebook günlük Siber Güvenlik ve hack haber güncellemeleri için.