VMware ve Microsoft, daha tehlikeli bir tehdide dönüşen, kötü niyetli tarayıcı uzantıları, düğüm-webkit kötü amaçlı yazılım ve hatta bazı durumlarda fidye yazılımları bırakan, devam eden, yaygın bir kromel yükleyici kötü amaçlı yazılım kampanyası uyarınca uyarıyor.
Red Canary'deki araştırmacılar, pazarlama bağlılığı ve reklam sahtekarlığı için kullanılan tarayıcı korsanının tehlikeleri hakkında uyarılarak kromelamer enfeksiyonları arttı.
O zamanlar, kötü amaçlı yazılım, tıklama sahtekarlığı yapmak ve tehdit aktörleri için gelir elde etmek için kullanıcı trafiğini reklam sitelerine yönlendiren kötü niyetli bir uzantılı kroma enfekte oldu.
Birkaç ay sonra, Palo Alto Networks Birimi 42, kromeloader'ın bir info-yöneticiye dönüştüğünü fark etti ve reklam yazılımı işlevlerini korurken tarayıcılarda depolanan verileri kapmaya çalıştı.
Cuma akşamı Microsoft, kurbanları çeşitli kötü amaçlı yazılımlarla enfekte etmek için kromel yükleyici kullanarak Dev-0796 olarak izlenen bir tehdit aktörüne atfedilen "devam eden geniş kapsamlı tıklama kampanyası" konusunda uyardı.
Bugün, VMware'deki analistler, Ağustos ayında ve bu ay kullanılan ve bazıları çok daha güçlü yükler bırakan farklı kromel yükleyici varyantlarını açıklayan bir teknik rapor yayınladılar.
Chromeloader kötü amaçlı yazılımları, kötü amaçlı reklamlar, tarayıcı yönlendirmeleri ve YouTube video yorumları aracılığıyla dağıtılan ISO dosyalarında teslim edilir.
ISO dosyaları, Microsoft varsayılan olarak ofis makrolarını engellemeye başladığından, kötü amaçlı yazılım dağıtmak için popüler bir yöntem haline gelmiştir. Ayrıca, Windows 10 ve daha sonraki bir ISO'ya çift tıklanırken, otomatik olarak yeni bir sürücü mektubu altında bir CDROM olarak monte edilirler, bu da onları aynı anda birden fazla kötü amaçlı yazılım dosyası dağıtmak için etkili bir yol haline getirir.
Chromeloader ISO'lar genellikle dört dosya, kötü amaçlı yazılım içeren bir zip arşivi, bir simge dosyası, kötü amaçlı yazılımları yükleyen bir toplu dosya (yaygın olarak adlandırılan Resources.bat) ve toplu iş dosyasını başlatan bir Windows kısayolu içerir.
Araştırmalarının bir parçası olarak VMware, yılın başlangıcından bu yana en ilginç olanı Ağustos ayından sonra ortaya çıktı.
İlk örnek, kullanıcıların filmler ve TV şovları için altyazıları bulmasına yardımcı olan bir yardımcı program olan bir programdır. Bu kampanyada, tehdit aktörleri her zamanki "Resources.bat" dosyasından uzaklaştı ve "Properties.bat" adlı bir adına geçti, kötü amaçlı yazılımları yüklemek ve kayıt defteri anahtarları ekleyerek kalıcılık oluşturmak için kullanıldı.
Bir başka önemli durum, bir elektron çalışma zamanı içeren ve kötü amaçlı yazılımların ağ iletişimi ve bağlantı noktası gözetleme için ek modüller yüklemesini sağlayan FLB müzik çalarını taklit eden "Flbmusic.exe" dir.
Bazı varyantlar için, saldırılar biraz yıkıcı hale geldi ve sistemi büyük bir ambalajlama işlemiyle aşırı yükleyen zipbombları çıkardı.
"Ağustos ayı sonlarında, zipbombların enfekte olmuş sistemlere düştüğü görüldü. Zipbomb, kullanıcının indirdiği arşivdeki ilk enfeksiyonla düşürüldü. Kullanıcı, Zipbomb'un çalışması için çift tıklamalıdır. Çalıştığında, kötü amaçlı yazılım yok eder Kullanıcının sistemi verilerle aşırı yükleyerek, "diye açıklıyor VMware'in raporu.
Daha da önemlisi, son Chromeloader varyantlarının bir HTML dosyasında Enigma fidye yazılımını dağıttığı görülmüştür.
Enigma, doğrudan varsayılan tarayıcıdan başlatılabilmesi için JavaScript tabanlı bir yükleyici ve gömülü bir yürütülebilir kullanıcı kullanan eski bir fidye yazılımı suşudur.
Şifreleme tamamlandıktan sonra, ".enigma" dosya adı uzantısı dosyalara eklenirken, fidye yazılımı kurbanlar için talimatlar içeren bir "readme.txt" dosyası bırakır.
Adware, kurbanların sistemlerinde önemli bir hasar yaratmadığından, bazı bant genişliği yemenin yanı sıra, genellikle analistler tarafından göz ardı edilen veya küçümsenen bir tehdittir.
Bununla birlikte, tespit edilmeden sistemlere yerleştirilen her yazılım daha önemli bir sorun için adaydır, çünkü yazarları daha agresif para kazanma seçeneklerini kolaylaştıran değişiklikler uygulayabilir.
Chromeloader reklam yazılımı olarak başlarken, tehdit aktörlerinin daha güçlü yükleri nasıl denediklerinin ve reklam sahtekarlığına daha karlı alternatifleri keşfettiklerinin mükemmel bir örneğidir.
Emotet botnet artık kuantum ve blackcat fidye yazılımını itiyor
Google Play'de bulunan 2 milyon yüklemeli Android kötü amaçlı yazılım uygulamaları
Sahte Chrome Uzantısı 'İnternet İndir Manager' 200.000 kurulum var
Sova Malware, Android cihazlarını şifrelemek için fidye yazılımı özelliği ekler
Facebook reklamları, google Play'de 7 milyon yükleme ile Android reklam yazılımı itiyor
Kaynak: Bleeping Computer