ChromeLoader является чрезвычайно распространенным и настойчивым вредоносным ПО. Изначально он распространяется в формате .iso и может использоваться для утечки учетных данных пользователей, сбора информации о последних действиях в Интернете и перехвата поисковых запросов браузера для показа рекламы. Команда VMware Carbon Black Managed Detection and Response (MDR) заметила первые варианты ChromeLoader для Windows в дикой природе в январе 2022 года, а версию для macOS - в марте 2022 года.
Chromeloader Malware
Известно несколько вариантов ChromeLoader, включая ChromeBack и Choziosi Loader. Исследователи Unit 42 обнаружили доказательства того, что The Real First Windows Variant использовал инструмент AHK(AutoHotKey) для компиляции вредоносного исполняемого файла и выпустил версию 1.0 вредоносной программы.
Хотя этот вид вредоносного ПО создается с целью накормить пользователя рекламным ПО, ChromeLoader также увеличивает поверхность атаки зараженной системы. В конечном итоге это может привести к гораздо более разрушительным атакам, таким как ransomware. В этой статье команда VMware Carbon Black MDR покажет доказательства осуществления таких атак.
В начале января 2022 года в природе была замечена вредоносная программа CS_installer, нацеленная на браузеры Chrome. CS_installer использовал загрузку файлов ISO-образов и полагался на выполнение пользователем действий для инициирования заражения. Целью вредоносной программы была установка расширения Chrome, которое действовало как угонщик браузера, собирая личную информацию и отслеживая активность пользователя в браузере. CS_installer был также известен как ChromeLoader, поскольку это было одно из имен запланированной задачи, которую создавала вредоносная программа. CS_Installer использовал одноименный исполняемый файл .NET для запуска цепочки заражения и установки вредоносного расширения Chrome.
Активность CS_Installer на некоторое время утихла, и вскоре после этого появилась похожая вредоносная программа. Хотя она также поставлялась через ISO-файлы, в ее исполнении были различия. Эта последняя вредоносная программа полагается на пакетный сценарий на смонтированном диске для установки полезной нагрузки второго этапа, также поставляемой в том же ISO, и начала заражения. Эта полезная нагрузка, которая в дальнейшем станет основным файлом вредоносной программы, имеет различные названия, некоторые из наиболее распространенных приведены ниже.
Хотя методы начального заражения и содержимое этих двух типов вредоносных программ отличаются, цель у них одна и та же: сбор данных пользователя и отслеживание его активности в браузере с последующим распространением рекламного ПО. Соглашение об именовании запланированных задач, используемых обоими образцами для достижения устойчивости, также очень похоже на Chromeloader. Кроме того, совпадение по времени появления второй вредоносной программы сразу после того, как CS_Installer/ChromeLoader затихли, заставляет нас предположить, что это одна и та же вредоносная программа, причем второй вариант является развитием первого.
При заражении ChromeLoader авторы вредоносных программ предлагают пиратские или взломанные версии игр или программного обеспечения. Обычно они распространяют это программное обеспечение в социальных сетях, через торренты, на пиратских сайтах или в комплекте с легальными играми и программами. Когда жертва устанавливает этот вредоносный файл, она неосознанно загружает ISO-файл, содержащий Chromeloader и, зачастую, другие вредоносные программы. Этот файл Оптимального образа диска не способен нанести никакого вреда машине до тех пор, пока жертва дважды не щелкнет по ISO и не запустит ярлык Install. Пользователь, скорее всего, откроет этот файл, думая, что это законная загрузка игры.
Indicators of Compromise
Domains
- koooblycar.com
- lyrecomemu.xyz
- oughsheukwa.autos
- ringhereny.autos
- rooblimyooki.com
- texceededon.autos
- tooblycars.com
- ukizeiasnin.com
- ymenthejuiasq.xyz
- ooblygoobnku.com