安全研究人员注意到,ChromeLoader 浏览器劫持和广告软件活动的运营商现在正在使用以流行游戏命名的 VHD 文件。以前,此类活动依赖于基于 ISO 的分发。
这些恶意文件是由 Ahnlab 安全紧急响应中心 ( ASEC ) 的成员通过谷歌搜索结果发现的,用于查询热门游戏
出于广告软件分发目的而滥用的游戏包括 Elden Ring、ROBLOX、Dark Souls 3、Red Dead Redemption 2、Need for Speed、Call of Duty、Portal 2、Minecraft、Legend of Zelda、Pokemon、Mario Kart、Animal Crossing 和更多的。
恶意广告网站网络分发恶意文件,这些文件显示为合法的游戏相关包,安装了 ChromeLoader 扩展程序。
ChromeLoader 劫持浏览器搜索以显示广告。它还会修改浏览器设置,并收集凭据和浏览器数据。
根据 Red Canary 的 数据,该恶意软件在 2022 年 5 月变得更加流行。2022 年 9 月,VMware 报告了 新的变种,可以执行更复杂的网络活动。在某些情况下,攻击者甚至交付了 Enigma 勒索软件。
在整个 2022 年看到的所有情况下,ChromeLoader 都以 ISO 文件的形式到达目标系统。最近,运营商似乎更喜欢 VHD 包装。
VHD 文件可以很容易地挂载到 Windows 系统上,并得到多种虚拟化软件的支持。
这些图像包括多个文件,但只有一个文件是可见的,即名为“Install.lnk”的快捷方式。部署快捷方式会触发解压缩 ZIP 存档内容的批处理脚本的执行。
在下一步中,批处理文件执行“data.ini”、一个 VBScript 和一个从远程资源获取最终负载的 JavaScript。
据 ASEC 称,ChromeLoader 将开始重定向到广告站点,从而为其运营商创造收入。
研究人员表示,托管有效载荷的地址不再可访问。他们指出,ChromeLoader 创建和执行的恶意 Chrome 扩展程序还可以收集存储在浏览器中的凭据数据。
ASEC 的报告提供了一组简短的妥协指标,可帮助检测 ChromeLoader 威胁。
建议用户避免从非官方来源下载游戏,并远离流行产品的破解程序,因为它们通常具有很高的安全风险。
如若转载,请注明出处:https://www.ozabc.com/it/535057.html