Korsan video oyunları, filmler ve diğer ürünlerin reklamını yapan sahte web siteleri, ChromeLoader kötü amaçlı yazılımının “Shampoo” adlı yeni bir türünü yayıyor;
HP Wolf Security’den araştırmacılar, Mart ayından beri aktif olduğu anlaşılan ve ilk olarak Mayıs 2022’de keşfedilen orijinal ChromeLoader’a benzer kötü amaçlı yazılımlar dağıtan yeni kampanyayı izliyorlar, ancak bu, birden çok yazılım sayesinde meşhur BT saçından kurtulmak çok daha zor. kalıcılık mekanizmaları dediler.
Jack Royer, ChromeLoader’ın ilk sürümünün amacının, kurbanların tarayıcıları ele geçiren yasa dışı içerik barındıran web sitelerinden kötü amaçlı ISO dosyaları indirmesiyle başlayan “özellikle karmaşık bir bulaşma zincirini” içeren bir süreç olan reklam için kötü amaçlı bir Chrome uzantısı yüklemek olduğunu yazdı. HP kötü amaçlı yazılım analisti stajyeri, bu hafta HP Tehdit Araştırma Blogu’nda yayınlanan bir gönderide.
“Şampuan kampanyasında kullanılan ChromeLoader çok benzer; kurbanları web sitelerinden kötü amaçlı VBScript dosyaları indirip çalıştırmaları için kandırıyor ve sonunda kötü amaçlı bir Chrome tarayıcı uzantısının yüklenmesine yol açıyor” diye açıkladı. İki paylaşım kodu benzerliği ve reklamdan para kazanma özelliği ile “Bu kampanya, bulaşma zinciri, dağıtımı ve amacı açısından ChromeLoader’a çok benziyor”.
Shampoo’nun orijinal ChromeLoader’dan farklı olan dikkate değer bir özelliği, her 50 dakikada bir kendini yeniden başlatmak için programlanmış bir görev ayarlayarak kalıcılığı sağlamak için tarayıcının Görev Zamanlayıcı’yı nasıl kullandığıdır.
Araştırmacılar, betiğin, zamanlanmış görevi ayarlayan ve her 50 dakikada bir başka bir PowerShell betiğini indiren ve çalıştıran bir döngü betiği çalıştıran bir PowerShell betiği çalıştırdığını söyledi. Bu komut dosyası, bir Chrome oturumuna eklendikten sonra hassas bilgileri bir komut ve kontrol (C2) sunucusuna geri göndermeye başlayan kötü amaçlı ChromeLoader Shampoo uzantısını indirip yükler.
Royer, “Bu kalıcılık mekanizması, kötü amaçlı yazılımın yeniden başlatmalara veya komut dosyasının bir güvenlik aracı veya kullanıcı tarafından öldürülmesine rağmen aktif kalmasına izin veriyor” diye yazdı.
Şampuan ChromeLoader Enfeksiyon Zincirinin İçinde
Araştırmacılar, Shampoo ile karşılaşan kullanıcıların bunu, korsan dosyalar sunan web sitelerinden filmler, video oyunları veya diğer dosyalar gibi internetten yasa dışı içerik indirerek yaptığını söyledi. Araştırmacılar, kurbanların korsan mallar olduğunu düşündükleri kötü amaçlı VBScript’leri (örneğin, Cocaine Bear.vbs veya Your download is ready.vbs) çalıştırmaları için kandırıldığını ve bunun da enfeksiyon zincirini tetiklediğini belirtti.
Royer, yazarının kötü amaçlı yazılımın tespit edilmesini zorlaştırmak için ücretsiz bir çevrimiçi JavaScript karartıcı kullandığı göründüğü için, “Uzantı büyük ölçüde gizlenmiş ve birçok hata ayıklama ve analiz önleme tuzağı içeriyor” diye yazdı.
ChromeLoader Shampoo’nun bir kurbanın makinesinde gerçekleştirdiği diğer kötü amaçlı etkinlikler arasında, adres çubuğundaki arama önerilerini devre dışı bırakmak; Google, Yahoo ve Bing aramalarını C2’ye yönlendirme; kurbanın son arama sorgusunun Chrome’un yerel deposuna kaydedilmesi; araştırmacılar, son arama sorgusunun Chrome’un yerel deposunda kaydedilmesi ve kurbanların chrome://settings’e yönlendirilerek chrome://extensions’a erişmelerinin engellenmesinin, muhtemelen uzantıyı kaldırmalarını engelleyeceğini söyledi.
Araştırmacılar, zamanlanmış döngü görevini ayarlayan kalıcılık mekanizmasının, “chrome_” ile ön eklenmiş görevlerin bir listesinin kaydını da sildiğini belirtti – “chrome engine”, “chrome policy” ve “chrome about” gibi. Royer, “Bu, muhtemelen aynı kötü amaçlı yazılımın önceki veya rakip sürümünü kaldırmak için yapılıyor” diye yazdı.
Yasadışı İndirmelere Karşı Dikkatli Olun
ChromeLoader’ın ilk sürümü, esas olarak tarayıcı oturumlarını ele geçirmeyi ve kurban verilerini çalmayı amaçladığı için Shampoo’ya benzese de, o zamandan beri daha tehlikeli bir tehdide dönüştü ve saldırganlar artık onu fidye yazılımı bırakmak, veri çalmak ve sistemleri çökertmek için kullanıyor. işletmelerde.
Şampuan varyantının da gelecekte bu şekilde kullanılıp kullanılmayacağı belli değil. Bununla birlikte, araştırmacılar insanlara riske girmemeleri tavsiyesinde bulundular ve gönderide enfeksiyondan nasıl kaçınılacağına dair ipuçları ve uzlaşma göstergelerinin bir listesini sağladılar.
Şampuan varyantından ödün vermemenin bariz bir yolunun internetten korsan malzeme indirmemek ve genel olarak güvenilmeyen web sitelerinden herhangi bir dosya indirmekten kaçınmak olduğunu söylediler. Bu özellikle Chrome’u kurumsal bir ortamda kullanan ve kuruluş genelinde yayılmaması için bir şirket ağı (veya paylaşılan bir iş/kişisel cihaz) aracılığıyla İnternetten herhangi bir şey indirme konusunda özellikle dikkatli olması gereken çalışanlar için geçerlidir.
HP Wolf Security tehdit araştırma ekibinde kötü amaçlı yazılım analisti olan Patrick Schläpfer, bir basın açıklamasında kuruluşların ek koruma olarak bilinmeyen harici kaynaklardan gelen dosyaları engellemek için e-posta ağ geçidini ve güvenlik aracı politikalarını da yapılandırması gerektiğini söyledi.