Kullanıcıların trafiğini kötü niyetli bir web sitesine yönlendirmek ve kimlik bilgilerini çalmak için tarayıcı ayarlarını değiştiren, yakalanan yaygın bir tarayıcı korsanı olarak sınıflandırılan, ChromeLoader olarak bilinen kötü amaçlı bir Chrome tarayıcı uzantısı vardır.
Bu yılın Ocak ayında ilk kez ortaya çıktıktan sonra ChromeLoader hızla gelişti. Kötü amaçlı yazılım, son birkaç ay içinde vahşi doğada keşfedilen çok çeşitli kötü amaçlı varyantları geliştirdi.
Bu kötü amaçlı yazılımın bir sonucu olarak, kullanıcının trafiği yeniden yönlendirilebilir ve popüler arama motorlarından kullanıcı arama sorguları çalınarak onları reklamlar için ödeme yapmaları için kandırılabilir:-
Ek olarak, kötü amaçlı kod, kendisini tarayıcıya enjekte edebilir ve PowerShell kullanarak ona bir uzantı ekleyebilir.
Etkilenen işletim sistemi
Kötü amaçlı kötü amaçlı yazılım ChromeLoader’dan etkilenen etkilenen işletim sistemi burada.
Son zamanlarda, hepimizin bildiği gibi, Chromeloader kötü amaçlı yazılımlarının işletim sistemlerine saldırma hızında bir artış oldu. ChromLoader kötü amaçlı yazılımı söz konusu olduğunda, içerdiği risk çok yüksektir ve kötü amaçlı yazılımın etkisi “orta” olarak derecelendirilmiştir.
ChromeLoader’ın Son Sürümü
ChromeLoader’ın kullanıcı dostu bir sürümü, Windows varyantı için PowerShell üzerinden JavaScript kullanan Windows için birkaç aydır mevcuttur.
Ağustos ve Eylül aylarında, virüsün bu en son çeşidi, aşağıdakiler gibi rastgele uygulamalar kullanılarak yaygın bir şekilde yaygınlaştı:
- FLBmusic.exe
- Cash.exe
- Opensubtitles-uploader.exe
Teknik Analiz
ChromeLoader kötü amaçlı yazılımının geliştirilmesi birden fazla aşamadan oluşur ve bu kötü amaçlı yazılım öncelikle web tarayıcılarını hedefleme amacıyla tasarlanmıştır. Kötü amaçlı yazılımın ilk sürümleri, çabalarını çoğunlukla kimlik bilgilerinin ve hesapların tehlikeye atılmasına odakladı.
Rapora göre, kötü amaçlı yazılım son yıllarda daha karmaşık ve algılanması zorlaşan daha gizli bir yoruma dönüşüyor.
Ek olarak, dolandırıcılık yapmak ve reklam yazılımlarını bir markanın trafiğini manipüle etmek için web sitesine yönlendirmek için bir dizi yöntemle donatılmıştır.
Bu kötü amaçlı yazılımın hem macOS hem de Windows sistemlerini hedefleyen çok sayıda farklı çeşidi vardır. Kötü amaçlı yazılımın arkasındaki tehdit aktörleri, enfeksiyonu yaymak ve yayılmasını artırmak için çeşitli sistem düzeyinde enfeksiyon vektörleri kullanır.
Ancak, bulaşmanın ikincil ve üçüncül sonuçları, kötü amaçlı yazılımın yetenekleri önemli ölçüde ikincil hasara neden olsa bile, kötü amaçlı yazılımı çok zararlı hale getirebilir.
Mart 2022’de ChromeLoader kötü amaçlı yazılımı, kendisini Mac kullanıcılarına dağıtmaya başladı ve onları kötü amaçlı yazılım bulaştırmak için virüslü bir indirme başına ödeme web sitesine yönlendirdi.
Planlanan PowerShell betiği ve bash betiğinin birçok benzerliği paylaştığı açıktır. Yükü indirir indirmez, hedefin tarayıcısına yükler.
Kim etkilendi?
ChromeLoader’ın aklında belirsiz hedefler var gibi görünüyor ve varlığını açıklamak için genellikle siber güvenlik bilincinin eksikliğine güveniyor.
Kötü amaçlı yazılım kampanyalarının katıksız ölçeğinin bir sonucu olarak, kötü amaçlı yazılımın kurumsal sistemlerde de göründüğüne dair bir rapor var.
Bunun nedeni, geleneksel olmayan yöntemler kullanan bir saldırı vektörü olduğundan, geleneksel Windows Taşınabilir Yürütülebilir Dosyasını kullanma olasılığının daha düşük olmasıdır.
Uzlaşmalar ve odak alanları açısından şunlar kaydedildi:-
- Eğitim
- Sivil hizmet
- Parasal
Önerilen hafifletmeler
Bununla birlikte, uzmanların önerdiği bazı hafifletme ipuçları vardır. Bu nedenle, aşağıda belirtilen adımları izleyin.
- Dosya Karması – Bu kötü amaçlı yazılımın bir cihazda görünmesi durumunda, bir karma algılama dağıtarak engellemek/karantinaya almak mümkündür.
- Dosya İçeriği Kuralları – YARA, desen eşleştirmeyi kullanarak dosyanın içeriğini arayarak bir dosyanın kötü amaçlı olup olmadığını belirlemek için güçlü bir mekanizmadır.
- Sistem Yapılandırma İzinleri – Bir sisteme erişimi belirli bir kullanıcı grubuyla kısıtlayarak, kötü amaçlı yazılım ve ChromeLoader kalıcılığı önlenebilir.
- Yürütülebilir Reddetme Listesi – Bu, ChromeLoader’ın belirli kullanıcı cihazlarında PowerShell/JavaScript yürütmesini engeller.
URL Analizi – Kullanıcıların kötü niyetli URL’leri ziyaret etmesini engelleyerek ilk bulaşmayı önlemek mümkündür.
Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin