セキュリティ研究者は、ChromeLoader ブラウザーのハイジャックとアドウェア キャンペーンのオペレーターが、人気のあるゲームにちなんで名付けられた VHD ファイルを使用していることに気付きました。以前は、このようなキャンペーンは ISO ベースの配布に依存していました。
悪意のあるファイルは、Ahnlab Security Emergency Response Center ( ASEC ) のメンバーによって、人気のあるゲームのクエリに対する Google 検索結果から発見されました。
アドウェアの配布目的で悪用されているゲーム タイトルには、Elden Ring、ROBLOX、Dark Souls 3、Red Dead Redemption 2、Need for Speed、Call of Duty、Portal 2、Minecraft、Legend of Zelda、Pokemon、Mario Kart、Animal Crossing などがあります。もっと。
マルバタイジング サイトのネットワークは、ChromeLoader 拡張機能をインストールする正規のゲーム関連パッケージとして表示される悪意のあるファイルを配布します。
ChromeLoader はブラウザの検索をハイジャックして広告を表示します。また、ブラウザの設定を変更し、資格情報とブラウザ データを収集します。
Red Canary のデータによると、マルウェアは 2022 年 5 月にさらに蔓延しました。VMware は 2022 年 9 月に、より高度なネットワーク アクティビティを実行する新しい亜種を報告しました。場合によっては、攻撃者が Enigma ランサムウェアを配布することさえありました。
2022 年を通して見られたすべてのケースで、ChromeLoader は ISO ファイルとしてターゲット システムに到着しました。最近、オペレータは VHD パッケージを好むようです。
VHD ファイルは Windows システムに簡単にマウントでき、複数の仮想化ソフトウェアでサポートされています。
イメージにはいくつかのファイルが含まれていますが、そのうちの 1 つ、「Install.lnk」と呼ばれるショートカットのみが表示されます。ショートカットを展開すると、ZIP アーカイブのコンテンツを解凍するバッチ スクリプトの実行がトリガーされます。
次のステップで、バッチ ファイルは「data.ini」、VBScript、およびリモート リソースから最終的なペイロードを取得する JavaScript を実行します。
ASEC によると、ChromeLoader は広告サイトへのリダイレクトを開始し、そのオペレーターに収益をもたらします。
研究者は、ペイロードをホストしているアドレスにはもはやアクセスできないと述べています。彼らは、ChromeLoader が作成して実行する悪意のある Chrome 拡張機能が、ブラウザに保存されている資格情報データも収集できることを指摘しています。
ASEC のレポートは、ChromeLoader の脅威を検出するのに役立つ侵害の短い一連の指標を提供します。
ユーザーは、非公式のソースからゲームをダウンロードすることは避け、人気のある製品のクラックには通常高いセキュリティ リスクがあるため、近づかないようにすることをお勧めします。
Comments