Les chercheurs en sécurité ont remarqué que les opérateurs de la campagne de piratage de navigateur et de logiciels publicitaires ChromeLoader utilisent désormais des fichiers VHD nommés d’après des jeux populaires. Auparavant, ces campagnes reposaient sur une distribution basée sur ISO.
Les fichiers malveillants ont été découverts par un membre du Ahnlab Safety Emergency Response Middle (UNE SECONDE) by way of les résultats de recherche Google aux requêtes pour les jeux populaires
Parmi les titres de jeux abusés à des fins de distribution de logiciels publicitaires figurent Elden Ring, ROBLOX, Darkish Souls 3, Crimson Lifeless Redemption 2, Want for Velocity, Name of Obligation, Portal 2, Minecraft, Legend of Zelda, Pokemon, Mario Kart, Animal Crossing et plus.
Un réseau de websites de malvertising distribue les fichiers malveillants, qui apparaissent comme des packages légitimes liés au jeu, qui installent l’extension ChromeLoader.
ChromeLoader détourne les recherches du navigateur pour afficher des publicités. Il modifie également les paramètres du navigateur et collecte les informations d’identification et les données du navigateur.
Selon Canari rouge données, le malware est devenu plus répandu en mai 2022. En septembre 2022, VMware signalé de nouvelles variantes réalisant des activités de réseau plus sophistiquées. Dans certains cas, l’acteur a même livré le rançongiciel Enigma.
Dans tous les cas observés tout au lengthy de 2022, ChromeLoader est arrivé sur le système cible sous forme de fichier ISO. Dernièrement, les opérateurs semblent préférer le conditionnement VHD.
Les fichiers VHD peuvent être facilement montés sur un système Home windows et sont pris en cost par plusieurs logiciels de virtualisation.
Les photos incluent plusieurs fichiers, mais un seul d’entre eux, un raccourci appelé « Set up.lnk », est seen. Le déploiement du raccourci déclenche l’exécution d’un script batch qui décompresse le contenu d’une archive ZIP.
À l’étape suivante, le fichier de commandes exécute « information.ini », un VBScript et un JavaScript qui récupère la cost utile finale à partir d’une ressource distante.
Selon l’ASEC, ChromeLoader va commencer à rediriger vers des websites publicitaires, générant ainsi des revenus pour ses opérateurs.
Les chercheurs disent que les adresses hébergeant la cost utile ne sont plus accessibles. Ils notent que l’extension Chrome malveillante créée et exécutée par ChromeLoader peut également collecter des données d’identification stockées dans le navigateur.
Le rapport de l’ASEC fournit un bref ensemble d’indicateurs de compromis qui peuvent aider à détecter la menace ChromeLoader.
Il est conseillé aux utilisateurs d’éviter de télécharger des jeux à partir de sources non officielles et de se tenir à l’écart des fissures pour les produits populaires automobile ils présentent généralement un risque de sécurité élevé.
