ChromeLoader Malware IOCs - Part 3

security IOC

С прошлого года наблюдается постоянный рост числа случаев использования файлов образов дисков, таких как ISO и VHD, для распространения вредоносного ПО. Об этом уже неоднократно говорилось в предыдущих сообщениях блога ASEC. В этом сообщении речь пойдет о недавнем обнаружении ChromeLoader, распространяемого с помощью файлов VHD. Эти VHD-файлы распространяются с именами файлов, которые делают их похожими на взломы или кряки для игр Nintendo и Steam.

ChromeLoader Malware

Некоторые из имен файлов, используемых в дистрибутиве, приведены ниже. В имена файлов некоторых крэков включены некоторые платные программы.

  • ELDEN RING Free Download (v1_08_1).vhd
  • Dark Souls 3 [FitGirl Repack]_part1_rar.vhd
  • Red Dead Redemption 2 Free Download (v1_0_1436_28).vhd
  • File_ Need for Speed Carbon Collectors Edition____.vhd
  • File_ Call of Duty Deluxe Edition_zip ___.vhd
  • File_ Portal_2_v2023_01_17_zip ___.vhd
  • File_ Minecraft – Story Mode_Complete Season_zi___.vhd
  • [NEW] ROBLOX _ Doors Script _ Hack _ Spawn Enti___.vhd
  • The Legend of Zelda_ Breath of the Wild SWITCH ___.vhd
  • Pokemon Ultra Moon_ Update 1_2 [Decrypted] 3DS ___ (1).vhd
  • Animal-Crossing-New-Horizons-Switch-NSPNSZXCI-U___.vhd
  • Mario Kart 8 Deluxe (NSP)(Booster Course DLC)(W___ (2).vhd
  • Super Mario Odyssey Switch NSP+ Update Free Dow___.vhd
  • Microsoft Office 2010 Free Download.vhd
  • Adobe Photoshop 2023 Free Download.vhd

Поиск в Google по любому из вышеперечисленных имен файлов приводит к появлению в самом верху страницы результатов многочисленных веб-сайтов, распространяющих нелегальные программы, такие как взломы игр и крэки. Загрузка нелегальной программы с любого из этих сайтов приводила к появлению множества вредоносных рекламных сайтов. Предполагается, что файлы VHD были загружены с одного из этих рекламных сайтов. В настоящее время загружается обычная программа (установщик 7zip).

Когда файл VHD загружается с помощью этого процесса, пользователь может легко принять вредоносный файл VHD за программу, связанную с игрой. Файлы внутри вредоносного VHD показаны ниже. Все файлы, кроме файла Install.lnk, имеют свойство hidden, поэтому обычные пользователи увидят только файл Install.lnk.

Install.lnk запускает файл properties.bat, а файл properties.bat, в свою очередь, распаковывает файл files.zip по пути "%AppData%" с помощью команды tar. Файл files.zip содержит обычные файлы и вредоносный js-файл, связанный с node-webkit (nw.js). node-webkit - это веб-приложение, использующее Chromium и Node. Оно может быть запущено через nw.exe и ссылается на данные, записанные в файле package.json. node-webkit используется в следующем процессе, использующем эти характеристики.

После этого properties.bat запускает файл data.ini и файл videos.exe, который создается после декомпрессии. Во-первых, data.ini - это команда VBScript, которая создает ярлык для файла videos.exe по пути "%AppData%\Microsoft\Windows\Start Menu\Programs\Startup\".

Файл videos.exe содержит внутри себя nw.exe и ссылается на package.json для запуска сценария, обозначенного свойством main. Сценарий, обозначенный свойством main, представляет собой файл start.html, содержащий вредоносный JS, который был обфусцирован.

В конечном итоге файл videos.exe выполняет вредоносный JS в файле start.html, который подключается к указанным ниже адресам и пытается загрузить ChromeLoader. В настоящее время доступ к этим адресам невозможен. ChromeLoader - это рекламное ПО, выполняющее вредоносные действия через расширение Chrome. Вредоносное расширение, созданное и запущенное ChromeLoader, перенаправляет пользователя на рекламный веб-сайт и собирает данные о его просмотре с помощью перехвата. Оно способно выполнять различные функции, такие как сбор учетных данных браузера и изменение его настроек.

  • irymountain.com[.]ua
  • lesexwrecko[.]xyz
  • alnormatic[.]xyz

В последнее время увеличилось количество вредоносных программ, использующих файлы образов дисков. Маскировка вредоносных программ под игровые хаки и кряки - метод, используемый многими угрозами. Пользователи должны быть особенно осторожны при выполнении файлов, загруженных из неизвестных источников, и рекомендуется загружать программы с их официальных сайтов.

Indicators of Compromise

Domains

  • alnormatic.xyz
  • irymountain.com.ua
  • lesexwrecko.xyz

MD5

  • 3515115d7efa1ac42bd56bc9348cd4f8
  • 82024e7af52481e71760c9d119eb903f
  • ae8ae62aa04f06d32c548c2ef493a39f
  • bdcb5c80a664d82a28469f9fce0fbb12
SEC-1275-1
Добавить комментарий