Güvenlik araştırmacıları, ChromeLoader adlı kötü amaçlı yazılım aracında alarm veriyor. İlk olarak Ocak ayında tüketici odaklı, tarayıcıyı ele geçiren bir kimlik bilgisi hırsızı olarak ortaya çıktı, ancak şimdi birden fazla sektördeki kuruluşlar için yaygın olarak yaygın ve çok yönlü bir tehdide dönüştü.
19 Eylül’de yayınlanan bir danışma belgesinde, VMware’in Carbon Black tarafından yönetilen algılama ve müdahale ekibinden araştırmacılar, kötü amaçlı yazılımın fidye yazılımlarını düşürmek, hassas verileri çalmak ve kilitlenme sistemlerine sözde açma (veya sıkıştırma) bombaları yerleştirmek için kullanıldığını yakın zamanda gözlemlediklerini söyledi. .
Araştırmacılar, iş hizmetleri, eğitim, devlet, sağlık ve diğer birçok sektördeki işletmeleri hedef alan kötü amaçlı yazılımın daha yeni sürümlerini içeren yüzlerce saldırı gözlemlediklerini söyledi.
“Bu kampanya son birkaç ayda birçok değişiklik geçirdi ve durmasını beklemiyoruz,” araştırmacılar uyardı. “Bu endüstrilerin bunun yaygınlığını not etmesi zorunludur. [threat] ve ona cevap vermeye hazırlanın.”
Devam Eden ve Yaygın Kampanya
VMware’in uyarısı, Cuma günü Microsoft’un Güvenlik İstihbaratı ekibinden, kapsamlı ve devam eden bir tıklama dolandırıcılığı kampanyasında ChromeLoader’ı kullanan DEV-0796 olarak izledikleri bir tehdit aktörü hakkında bir uyarıda bulundu. Bir dizi tweet’te araştırmacılar, siber saldırganların tıklamalardan para kazanmaya çalışmak ChromeLoader’ın çok sayıda kullanıcı cihazına gizlice indirdiği bir tarayıcı uzantısı veya tarayıcı düğüm-web seti tarafından oluşturulur.
Microsoft’un analizine göre, “Bu kampanya, bir kullanıcı kötü amaçlı reklamları veya YouTube yorumlarını tıkladığında indirilen bir .ISO dosyasıyla başlar”. Açıldığında, .ISO dosyası yukarıda bahsedilen tarayıcı düğüm-webkitini (NW.js) veya bir tarayıcı uzantısını yükler.
Microsoft araştırmacıları, “Çoklu platform etkinliğini gösteren DMG dosyalarının kullanımını da gördük” diye ekledi.
ChromeLoader (diğer adıyla ChromeBack veya Choziosi Loader), araştırmacıların kötü amaçlı bir tarayıcı uzantısını kullanıcı sistemlerine bir yük olarak bırakmak için kötü amaçlı yazılım operatörlerini kullandıklarını gözlemledikleri Ocak ayında dikkat çekti. Kötü amaçlı yazılım, crackli video oyunları ve korsan torrentler sunan siteleri ziyaret eden kullanıcıları hedef aldı.
Palo Alto Networks’ün 42. Birim tehdit avı ekibinden araştırmacılar enfeksiyon vektörünü tanımladı Korsan içerik indirmek amacıyla bu sitelerde bir kullanıcının QR kodunu taramasıyla başlar. QR kodu, kullanıcıyı, bir yükleyici dosyası ve birkaç başka gizli dosya içeren korsan dosya olduğu iddia edilen bir .ISO görüntüsünü indirmeye ikna edildiği, güvenliği ihlal edilmiş bir web sitesine yönlendirdi.
Unit 42 araştırmacıları, kullanıcılar yükleyici dosyasını başlattığında, indirme işleminin başarısız olduğunu belirten bir mesaj aldılar – arka planda kötü amaçlı yazılımdaki bir PowerShell betiği kullanıcının tarayıcısına kötü amaçlı bir Chrome uzantısı indirirken.
Hızlı Evrim
Bu yılın başlarında olay yerine geldiğinden beri, kötü amaçlı yazılımın yazarları, çoğu farklı kötü amaçlı yeteneklerle donatılmış birden fazla sürüm yayınladı. Bunlardan biri, Mart ayında ilk kez ortaya çıkan ve o zamandan beri en az 50 VMware Carbon Black müşterisine bulaşan Bloom.exe adlı bir türevdir. VMware araştırmacıları, kötü amaçlı yazılımın, virüslü sistemlerden hassas verileri sızdırmak için kullanıldığını gözlemlediklerini söyledi.
Başka bir ChromeLoader çeşidi, zip bombalarını kullanıcı sistemlerine, yani kötü amaçlı arşiv dosyalarına bırakmak için kullanılıyor. Silah haline getirilmiş sıkıştırma dosyalarına tıklayan kullanıcılar, sonunda sistemlerini verilerle aşırı yükleyen ve onları çökerten kötü amaçlı yazılımları başlatıyor. Ve Ağustos ayından bu yana, uygun şekilde adlandırılmış CrashLoader varyantının operatörleri, Enigma adlı bir fidye yazılımı ailesini dağıtmak için kötü amaçlı yazılımı kullanıyor.
ChromeLoader’ın Güncellenmiş Kötü Amaçlı Taktikleri
Yüklerle birlikte, kullanıcıların ChromeLoader’ı indirmesini sağlama taktikleri de gelişti. Örneğin, VMware Carbon Black araştırmacıları, kötü amaçlı yazılımın yazarının kullanıcıları ChromeLoader’a yönlendirmek için çeşitli yasal hizmetleri taklit ettiğini gördüklerini söyledi.
VMware raporunda, kimliğine büründükleri hizmetlerden birinin, kullanıcıların popüler TV şovları ve filmler için altyazı bulmalarına yardımcı olmak için tasarlanmış bir site olan OpenSubtitles olduğunu söyledi. Bir diğeri ise müzik çalmak için bir site olan FLB Music Play.
VMware, “Kimliğe bürünülmüş yazılım, web trafiğini yeniden yönlendiren, kimlik bilgilerini çalan ve meşru güncellemeler olarak sunulan diğer kötü amaçlı indirmeleri öneren bir reklam yazılımı programı ile birlikte kullanılıyor” dedi.
Genellikle tüketiciler, ChromeLoader gibi kötü amaçlı yazılımların birincil hedefleridir. Ancak birçok çalışanın artık evden çalışması ve kurumsal verilere ve uygulamalara erişmek için genellikle kişisel cihazlarını kullanması nedeniyle, kuruluşlar da etkilenebilir. VMware’in Carbon Black ekibi, Microsoft’un güvenlik araştırmacıları gibi, mevcut kampanyanın yalnızca ChromeLoader’ı içeren daha fazla saldırının habercisi olduğuna inandıklarını söyledi.
VMware, danışma belgesinde “Karbon Siyahı MDR ekibi, bunun daha kötü amaçlı kötü amaçlı yazılım sunma potansiyeli nedeniyle, izlenmesi ve ciddiye alınması gereken yeni bir tehdit olduğuna inanıyor” dedi.