Yeni bir ChromeLoader kötü amaçlı yazılım kampanyasının, sanal sabit disk (VHD) dosyaları aracılığıyla dağıtıldığı gözlemlendi ve bu, ISO optik disk görüntü biçiminden bir sapmaya işaret ediyor.
AhnLab Güvenlik Acil Müdahale Merkezi (ASEC), “Bu VHD dosyaları, Nintendo ve Steam oyunları için hack veya crack gibi görünmelerini sağlayan dosya adlarıyla dağıtılıyor.” söz konusu geçen haftaki bir raporda
ChromeLoader (namı diğer Choziosi Loader veya ChromeBack), ilk olarak Ocak 2022’de tarayıcıları ele geçiren bir kimlik bilgisi hırsızı olarak ortaya çıktı, ancak o zamandan beri daha güçlü, çok yönlü tehdit hassas verileri çalabilir, fidye yazılımı dağıtabilir ve hatta düşürebilir dekompresyon bombaları.
Kötü amaçlı yazılımın birincil amacı, anlaşmak Google Chrome gibi web tarayıcıları ve şüpheli reklam web sitelerine trafiği kesmek ve yönlendirmek için tarayıcı ayarlarını değiştirin. Dahası, ChromeLoader, tıklamalardan para kazanmak için bir tarayıcı uzantısından yararlanarak tıklama sahtekarlığı gerçekleştirmek için bir kanal olarak ortaya çıktı.
Kötü amaçlı yazılım sahneye çıktığından beri, çoğu hem Windows hem de macOS sistemlerine girme yetenekleriyle donatılmış birden çok sürümden geçti. VHD dosyalarına geçiş, kampanyanın son birkaç ayda birçok değişiklik geçirdiğinin bir başka işaretidir.
Bulaşma zinciri, korsan yazılım ve video oyunu hileleri arayan kullanıcıların ana hedef olduğunu gösterir ve arama sonuçları sayfalarında görünen sahte web sitelerinden VHD dosyalarının indirilmesine yol açar.
Kullanılan oyun başlıklarından ve popüler yazılımlardan bazıları Elden Ring, Dark Souls III, Red Dead Redemption 2, Need for Speed, Call of Duty, The Legend of Zelda: Breath of the Wild, Mario Kart 8 Deluxe, Super Mario Odyssey, Microsoft’tur. Office ve Adobe Photoshop.
ASEC araştırmacıları, “Bu işlem aracılığıyla bir VHD dosyası indirildiğinde, kullanıcı kötü amaçlı VHD dosyasını oyunla ilgili bir program sanarak kolayca karıştırabilir.” “Kötü amaçlı yazılımları oyun hackleri ve crack programları olarak gizlemek, birçok tehdit aktörü tarafından kullanılan bir yöntemdir.”
Bu tür riskleri azaltmak için, kullanıcıların şüpheli bağlantıları takip etmekten kaçınmaları ve yalnızca resmi kaynaklardan yazılım indirmeleri önerilir.