Siber güvenlik araştırmacıları, ChromeLoader bilgi çalan kötü amaçlı yazılımın yeni türevlerini ortaya çıkardı ve kısa sürede gelişen özellik setinin altını çizdi.
Öncelikle korsanlık kurbanlarının tarayıcı aramaları ve reklamlar sunmak için kullanılan ChromeLoader, Ocak 2022’de ortaya çıktı ve Twitter ve ücretsiz oyun sitelerinde QR kodları aracılığıyla reklamı yapılan ISO veya DMG dosya indirmeleri şeklinde dağıtıldı.
ChromeLoader, daha geniş siber güvenlik topluluğu tarafından Choziosi Loader ve ChromeBack olarak da kodlanmıştır. Reklam yazılımını dikkate değer kılan şey, bir Windows yürütülebilir dosyası (.exe) veya Dinamik Bağlantı Kitaplığı (.dll) yerine bir tarayıcı uzantısı olarak tasarlanmış olmasıdır.
Enfeksiyonlar tipik olarak, yükleme başına ödeme sitelerinde ve sosyal medyada kötü amaçlı reklam kampanyaları aracılığıyla, şüpheli olmayan kullanıcıları film torrentleri veya crackli video oyunları indirmeye ikna ederek çalışır.
Tarayıcı verilerine erişmek ve web isteklerini manipüle etmek için istilacı izinler istemenin yanı sıra, kullanıcıların Google, Yahoo ve Bing’deki arama motoru sorgularını yakalamak ve tehdit aktörlerinin çevrimiçi davranışlarını etkin bir şekilde toplamasına izin vermek için tasarlanmıştır.
ChromeLoader kötü amaçlı yazılımının ilk Windows çeşidi Ocak ayında tespit edilirken, kötü amaçlı Chrome uzantısını (sürüm 6.0) yarım yamalak disk görüntüsü (DMG) dosyaları aracılığıyla dağıtmak için Mart ayında kötü amaçlı yazılımın bir macOS sürümü ortaya çıktı.
Ancak Palo Alto Networks Unit 42’den yeni bir analiz gösterir Kötü amaçlı yazılımı içeren bilinen en eski saldırının, daha sonra gözlemlenen ISO dosyaları yerine AutoHotKey tarafından derlenmiş bir yürütülebilir dosya kullanılarak Aralık 2021’de gerçekleştiğini.
Unit 42 araştırmacısı Nadav Barak, “Bu kötü amaçlı yazılım, komut dosyası oluşturma otomasyonu için kullanılan bir çerçeve olan AutoHotKey (AHK) kullanılarak yazılmış yürütülebilir bir dosyaydı,” dedi ve tarayıcı eklentisinin “1.0 sürümünü” bırakmak için kullanıldığını ekledi.
Bu ilk sürümün, amacını ve kötü amaçlı kodunu gizlemek için kötü amaçlı yazılımın sonraki yinelemelerinde alınan bir özellik olan şaşırtma yeteneklerinden yoksun olduğu da söyleniyor.
Ayrıca Mart 2022’den beri gözlemlenen, Chrome uzantısının 6.0 sürümünü kullanan ve görünüşte iyi huylu bir Windows kısayolu içeren bir ISO görüntüsüne dayanan, ancak gerçekte, monte edilmiş görüntüde gizli bir dosyayı başlatmak için bir kanal görevi gören daha önce belgelenmemiş bir kampanyadır. hangi kötü amaçlı yazılımı dağıtır.
“Bu kötü amaçlı yazılım, siber suçluların ve kötü amaçlı yazılım yazarlarının ne kadar kararlı olabileceğini gösteriyor: Kısa bir süre içinde, ChromeLoader’ın yazarları birden fazla farklı kod sürümü yayınladı, birden çok programlama çerçevesi, gelişmiş özellikler, gelişmiş gizleme araçları, sabit sorunlar ve hatta işletim sistemleri arası destek ekledi. hem Windows hem de macOS’u hedefliyor,” dedi Barak.