Güvenlik araştırmacıları, Chromeloader tarayıcısı kaçırma ve reklam yazılımı kampanyasının operatörlerinin artık popüler oyunların adını taşıyan VHD dosyalarını kullandığını fark ettiler. Daha önce, bu tür kampanyalar ISO tabanlı dağıtıma dayanıyordu.
Kötü amaçlı dosyalar, popüler oyunlar için sorgulara Google arama sonuçları aracılığıyla Ahnlab Güvenlik Acil Müdahale Merkezi (ASEC) üyesi tarafından keşfedildi.
Adware dağıtım amaçları için istismar edilen oyun başlıkları arasında Elden Ring, Roblox, Dark Souls 3, Red Dead Redemption 2, Hız Need, Görev Çağrısı, Portal 2, Minecraft, Zelda Efsanesi, Pokemon, Mario Kart, Hayvan Geçişi ve Daha.
Bir kötüverizasyon sitesi ağı, kromel yükleyici uzantısını yükleyen meşru oyunla ilgili paketler olarak görünen kötü amaçlı dosyaları dağıtır.
Chromeloader, reklamları göstermek için tarayıcıyı arar. ITT ayrıca tarayıcı ayarlarını değiştirir ve kimlik bilgileri ve tarayıcı verilerini toplar.
Red Canary Data'ya göre, Mayıs 2022'de daha yaygın kötü amaçlı Bacame daha yaygın. Eylül 2022'de VMware, daha sofistike ağ faaliyetlerine bakan yeni varyantlar bildirdi. Bazı durumlarda aktör Enigma fidye yazılımı bile verdi.
2022 boyunca görülen tüm durumlarda, Chromeloader hedef sisteme bir ISO dosyası olarak geldi. Son zamanlarda, operatörler VHD ambalajını tercih ediyor gibi görünüyor.
VHD dosyaları bir Windows sistemine kolayca monte edilebilir ve birden fazla sanallaştırma yazılımı tarafından desteklenir.
Görüntüler birkaç dosya içerir, ancak bunlardan sadece bir tanesi, "install.lnk" adlı bir kısayol görünür. Kısayolun dağıtılması, bir zip arşivinin içeriğini açan bir toplu komut dosyasının yürütülmesini tetikler.
Bir sonraki adımda, toplu dosyası "data.ini", bir VBScript ve son yükü uzak bir kaynaktan getiren bir javascript yürütür.
ASEC'e göre, Chromeloader reklam sitelerine yönlendirmeye başlayacak ve böylece operatörleri için gelir elde edecektir.
Araştırmacılar, yükü barındıran adreslerin Longe erişilebilir olmadığını söylüyor. Chromeloader'ın oluşturduğu ve yürüttüğü kötü amaçlı krom uzantının, tarayıcıda depolanan kimlik bilgisi verilerini de toplayabileceğini not ederler.
ASEC'in raporu, kromel yükleyici tehdidinin tespit edilmesine yardımcı olabilecek kısa bir uzlaşma göstergesi kümesi sunmaktadır.
Kullanıcılara resmi olmayan kaynaklardan oyun indirmekten kaçınmaları ve tipik olarak yüksek güvenlik riski olduğu için popüler ürünler için çatlaklardan uzak durmaları tavsiye edilir.
VMware, Microsoft yaygın Chromeloader kötü amaçlı yazılım saldırılarını uyardı
Activision, çalışan ve oyun bilgilerini ortaya çıkaran veri ihlalini onaylar
GTA Online Hatası Yasak, Yolsuz Oyuncuların Hesapları
Google Play'de Shady Ödül Uygulamaları 20 milyon indirme biriktiriyor
Kaynak: Bleeping Computer