VMware 和 Microsoft 警告说,Chromeloader 恶意软件活动正在进行中,该活动已演变为更危险的威胁,已发现恶意浏览器扩展程序、node-WebKit 恶意软件甚至在某些情况下勒索软件。
Chromeloader 感染 在 2022 年第一季度激增,Red Canary 的研究人员警告说,用于营销联盟和广告欺诈的浏览器劫持者的危险。
当时,该恶意软件使用恶意扩展程序感染了 Chrome,该扩展程序将用户流量重定向到广告网站,以执行点击欺诈并为威胁行为者创造收入。
几个月后,Palo Alto Network 的 Unit 42 注意到 Chromeloader 正在 演变为信息窃取者,试图在保留其广告软件功能的同时窃取存储在浏览器上的数据。
周五晚上, 微软警告称 ,“正在进行的广泛的点击欺诈活动”归因于被追踪为 DEV-0796 的威胁行为者使用 Chromeloader 感染各种恶意软件的受害者。
来源:微软
今天, VMware的分析师 发布了一份技术报告,描述了 8 月和本月使用的 Chromeloader 的不同变体,其中一些正在丢弃更有效的有效负载。
新变种丢弃恶意软件
ChromeLoader 恶意软件以 ISO 文件的形式交付,这些文件通过恶意广告、浏览器重定向和 YouTube 视频评论进行分发。
自从 Microsoft 开始 默认阻止 Office 宏以来, ISO 文件已 成为分发恶意软件的流行方法。此外,在 Windows 10 及更高版本中双击 ISO 时,它们会自动作为 CDROM 挂载到新的驱动器号下,这使它们成为一次分发多个恶意软件文件的有效方式。
ChromeLoader ISO 通常包含四个文件,一个包含恶意软件的 ZIP 存档、一个 ICON 文件、一个安装恶意软件的批处理文件(通常名为 Resources.bat),以及一个启动批处理文件的 Windows 快捷方式。
作为他们研究的一部分,VMware 从今年年初开始对至少十个 Chromeloader 变体进行了抽样,其中最有趣的出现在 8 月之后。
第一个例子是一个模仿 OpenSubtitles 的程序,一个帮助用户定位电影和电视节目字幕的实用程序。在这次活动中,威胁参与者从他们通常的“Resources.bat”文件转移到一个名为“properties.bat”的文件,用于安装恶意软件并通过添加注册表项来建立持久性。
对于某些变体,攻击变得有点破坏性,提取 ZipBombs,通过大规模的拆包操作使系统超载。
“最近在 8 月下旬,已经看到 ZipBomb 被投放到受感染的系统上。ZipBomb 被删除,用户下载的存档中的初始感染。用户必须双击 ZipBomb 才能运行。一旦运行,恶意软件就会破坏VMware 的报告解释道。
更令人担忧的是,最近的 Chromeloader 变体已在 HTML 文件中部署 Enigma 勒索软件。
Enigma 是一种 旧的勒索 软件,它使用基于 JavaScript 的安装程序和嵌入式可执行文件,因此可以直接从默认浏览器启动。
加密完成后,“. enigma ”文件扩展名会附加到文件中,而勒索软件会删除一个“ readme.txt ”文件,其中包含针对受害者的说明。
广告软件不容忽视
由于广告软件不会对受害者的系统造成显着损害,除了占用一些带宽外,它通常是分析师忽略或淡化的威胁。
但是,每个嵌入系统而未被检测到的软件都可能带来更大的麻烦,因为其作者可能会应用修改以促进更积极的货币化选项。
虽然 Chromeloader 最初是作为广告软件,但它是威胁行为者如何尝试更有效的有效载荷、探索更有利可图的广告欺诈替代方案的完美示例。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » VMware微软警告Chromeloader恶意软件进行攻击
