С прошлого года наблюдается постоянный рост числа случаев использования файлов образов дисков, таких как ISO и VHD, для распространения вредоносного ПО. Об этом уже неоднократно говорилось в предыдущих сообщениях блога ASEC. В этом сообщении речь пойдет о недавнем обнаружении ChromeLoader, распространяемого с помощью файлов VHD. Эти VHD-файлы распространяются с именами файлов, которые делают их похожими на взломы или кряки для игр Nintendo и Steam.
ChromeLoader Malware
Некоторые из имен файлов, используемых в дистрибутиве, приведены ниже. В имена файлов некоторых крэков включены некоторые платные программы.
- ELDEN RING Free Download (v1_08_1).vhd
- Dark Souls 3 [FitGirl Repack]_part1_rar.vhd
- Red Dead Redemption 2 Free Download (v1_0_1436_28).vhd
- File_ Need for Speed Carbon Collectors Edition____.vhd
- File_ Call of Duty Deluxe Edition_zip ___.vhd
- File_ Portal_2_v2023_01_17_zip ___.vhd
- File_ Minecraft – Story Mode_Complete Season_zi___.vhd
- [NEW] ROBLOX _ Doors Script _ Hack _ Spawn Enti___.vhd
- The Legend of Zelda_ Breath of the Wild SWITCH ___.vhd
- Pokemon Ultra Moon_ Update 1_2 [Decrypted] 3DS ___ (1).vhd
- Animal-Crossing-New-Horizons-Switch-NSPNSZXCI-U___.vhd
- Mario Kart 8 Deluxe (NSP)(Booster Course DLC)(W___ (2).vhd
- Super Mario Odyssey Switch NSP+ Update Free Dow___.vhd
- Microsoft Office 2010 Free Download.vhd
- Adobe Photoshop 2023 Free Download.vhd
Поиск в Google по любому из вышеперечисленных имен файлов приводит к появлению в самом верху страницы результатов многочисленных веб-сайтов, распространяющих нелегальные программы, такие как взломы игр и крэки. Загрузка нелегальной программы с любого из этих сайтов приводила к появлению множества вредоносных рекламных сайтов. Предполагается, что файлы VHD были загружены с одного из этих рекламных сайтов. В настоящее время загружается обычная программа (установщик 7zip).
Когда файл VHD загружается с помощью этого процесса, пользователь может легко принять вредоносный файл VHD за программу, связанную с игрой. Файлы внутри вредоносного VHD показаны ниже. Все файлы, кроме файла Install.lnk, имеют свойство hidden, поэтому обычные пользователи увидят только файл Install.lnk.
Install.lnk запускает файл properties.bat, а файл properties.bat, в свою очередь, распаковывает файл files.zip по пути "%AppData%" с помощью команды tar. Файл files.zip содержит обычные файлы и вредоносный js-файл, связанный с node-webkit (nw.js). node-webkit - это веб-приложение, использующее Chromium и Node. Оно может быть запущено через nw.exe и ссылается на данные, записанные в файле package.json. node-webkit используется в следующем процессе, использующем эти характеристики.
После этого properties.bat запускает файл data.ini и файл videos.exe, который создается после декомпрессии. Во-первых, data.ini - это команда VBScript, которая создает ярлык для файла videos.exe по пути "%AppData%\Microsoft\Windows\Start Menu\Programs\Startup\".
Файл videos.exe содержит внутри себя nw.exe и ссылается на package.json для запуска сценария, обозначенного свойством main. Сценарий, обозначенный свойством main, представляет собой файл start.html, содержащий вредоносный JS, который был обфусцирован.
В конечном итоге файл videos.exe выполняет вредоносный JS в файле start.html, который подключается к указанным ниже адресам и пытается загрузить ChromeLoader. В настоящее время доступ к этим адресам невозможен. ChromeLoader - это рекламное ПО, выполняющее вредоносные действия через расширение Chrome. Вредоносное расширение, созданное и запущенное ChromeLoader, перенаправляет пользователя на рекламный веб-сайт и собирает данные о его просмотре с помощью перехвата. Оно способно выполнять различные функции, такие как сбор учетных данных браузера и изменение его настроек.
- irymountain.com[.]ua
- lesexwrecko[.]xyz
- alnormatic[.]xyz
В последнее время увеличилось количество вредоносных программ, использующих файлы образов дисков. Маскировка вредоносных программ под игровые хаки и кряки - метод, используемый многими угрозами. Пользователи должны быть особенно осторожны при выполнении файлов, загруженных из неизвестных источников, и рекомендуется загружать программы с их официальных сайтов.
Indicators of Compromise
Domains
- alnormatic.xyz
- irymountain.com.ua
- lesexwrecko.xyz
MD5
- 3515115d7efa1ac42bd56bc9348cd4f8
- 82024e7af52481e71760c9d119eb903f
- ae8ae62aa04f06d32c548c2ef493a39f
- bdcb5c80a664d82a28469f9fce0fbb12