بدافزار ChromeLoader به یک تهدید سایبری رایج و خطرناک‌تر تبدیل می‌شود

محققان امنیتی در حال به صدا درآوردن آلارم ابزار بدافزاری به نام ChromeLoader هستند. این اولین بار در ژانویه به عنوان یک سرقت کننده اعتبار مرورگر متمرکز بر مصرف کننده ظاهر شد، اما اکنون به یک تهدید گسترده و چند وجهی برای سازمان ها در صنایع مختلف تبدیل شده است.

در توصیه‌ای که در 19 سپتامبر منتشر شد، محققان تیم تشخیص و پاسخ مدیریت شده Carbon Black VMware گفتند که اخیرا مشاهده کرده‌اند که بدافزار مورد استفاده برای پرتاب باج‌افزار، سرقت داده‌های حساس و استقرار به اصطلاح بمب‌های فشرده‌سازی (یا zip) برای خراب کردن سیستم‌ها است. .

محققان گفتند که صدها حمله را مشاهده کرده‌اند که شامل نسخه‌های جدیدتر بدافزار است که شرکت‌های خدمات تجاری، آموزش، دولت، مراقبت‌های بهداشتی و چندین بخش دیگر را هدف قرار می‌دهد. 

این کمپین طی چند ماه گذشته تغییرات زیادی را پشت سر گذاشته است ما انتظار نداریم که متوقف شودمحققان هشدار دادند. ضروری است که این صنایع به شیوع این [تهدید] توجه داشته باشند و برای پاسخ به آن آماده شوند.»

کمپین در حال انجام و رایج

هشدار VMware در مورد یک عامل تهدیدی که آنها با نام DEV-0796 دنبال می‌کنند، که از ChromeLoader در یک کمپین تقلب کلیک گسترده و مداوم استفاده می‌کند، تکرار شد. در یک سری توییت، محققان گفتند که مهاجمان سایبری بودند تلاش برای کسب درآمد از کلیک ها ایجاد شده توسط یک افزونه مرورگر یا گره وب کیت مرورگر که ChromeLoader مخفیانه در دستگاه های کاربر متعددی دانلود کرده بود.

بر اساس تجزیه و تحلیل مایکروسافت، "این کمپین با یک فایل ISO شروع می شود که زمانی که کاربر روی تبلیغات مخرب یا نظرات YouTube کلیک می کند دانلود می شود." هنگامی که باز می شود، فایل ISO. گره وب کیت مرورگر (NW.js) یا یک پسوند مرورگر را نصب می کند. 

محققان مایکروسافت افزودند: «ما همچنین شاهد استفاده از فایل‌های DMG بوده‌ایم که نشان‌دهنده فعالیت چند پلتفرمی است».

ChromeLoader (معروف به ChromeBack یا Choziosi Loader) در ژانویه زمانی که محققان مشاهده کردند که اپراتورهای بدافزار از آن برای رها کردن یک برنامه افزودنی مرورگر مخرب به عنوان یک بار در سیستم های کاربر استفاده می کنند، توجه را به خود جلب کرد. این بدافزار کاربرانی را هدف قرار می‌دهد که از سایت‌هایی بازدید می‌کردند که بازی‌های ویدیویی کرک شده و تورنت‌های غیرقانونی را تبلیغ می‌کردند. 

محققان تیم شکار تهدید واحد 42 شبکه پالو آلتو ناقل عفونت را شرح داد مانند شروع با اسکن یک کد QR در آن سایت ها توسط کاربر به قصد دانلود محتوای دزدی. کد QR کاربر را به یک وب‌سایت در معرض خطر هدایت می‌کند، جایی که آنها را متقاعد می‌کند تا یک تصویر .ISO را دانلود کند که ادعا می‌کرد فایل دزدی است، که حاوی یک فایل نصب‌کننده و چندین فایل مخفی دیگر است.

هنگامی که کاربران فایل نصب کننده را راه اندازی کردند، پیامی دریافت کردند که نشان می داد دانلود ناموفق بوده است - در حالی که در پس زمینه یک اسکریپت PowerShell در بدافزار یک برنامه افزودنی مخرب Chrome را در مرورگر کاربر دانلود کرده است، محققان واحد 42 دریافتند.

تکامل سریع

از زمان ورود به صحنه در اوایل سال جاری، نویسندگان این بدافزار نسخه‌های متعددی را منتشر کرده‌اند که بسیاری از آنها به قابلیت‌های مخرب متفاوتی مجهز شده‌اند. یکی از آنها نسخه ای به نام Bloom.exe است که در ماه مارس ظاهر شد و از آن زمان حداقل 50 مشتری کربن بلک VMware را آلوده کرده است. محققان VMware گفتند که آنها این بدافزار را مشاهده کردند که برای استخراج داده های حساس از سیستم های آلوده استفاده می شود. 

نوع دیگری از ChromeLoader برای انداختن بمب‌های فشرده روی سیستم‌های کاربر، یعنی فایل‌های بایگانی مخرب استفاده می‌شود. کاربرانی که روی فایل‌های فشرده‌سازی تسلیحاتی کلیک می‌کنند، در نهایت بدافزاری را راه‌اندازی می‌کنند که سیستم‌هایشان را با داده‌ها بارگیری می‌کند و آنها را از کار می‌اندازد. و از ماه آگوست، اپراتورهای نوع CrashLoader با نام مناسب از این بدافزار برای توزیع یک خانواده باج افزار به نام Enigma استفاده کرده اند.

تاکتیک های مخرب به روز شده ChromeLoader

همراه با محموله‌ها، تاکتیک‌های واداشتن کاربران به دانلود ChromeLoader نیز تکامل یافته است. به عنوان مثال، محققان VMware Carbon Black گفتند که آنها جعل هویت سرویس‌های مختلف قانونی توسط نویسنده بدافزار را دیده‌اند تا کاربران را به ChromeLoader هدایت کند. 

VMware در گزارش خود می گوید یکی از سرویس هایی که آنها جعل هویت کرده اند OpenSubtitles است، سایتی که برای کمک به کاربران در یافتن زیرنویس برنامه های تلویزیونی و فیلم های محبوب طراحی شده است. دیگری FLB Music Play است که سایتی برای پخش موسیقی است. 

VMware گفت: «نرم‌افزار جعل‌شده همراه با یک برنامه تبلیغاتی استفاده می‌شود که ترافیک وب را تغییر مسیر می‌دهد، اعتبارنامه‌ها را می‌دزدد، و دانلودهای مخرب دیگری را که به‌عنوان به‌روزرسانی‌های قانونی معرفی می‌شوند، توصیه می‌کند.

اغلب، مشتریان هدف اصلی بدافزارهایی مانند ChromeLoader هستند. اما با توجه به اینکه بسیاری از کارمندان اکنون از خانه کار می کنند و اغلب از دستگاه های شخصی خود برای دسترسی به داده ها و برنامه های سازمانی استفاده می کنند. شرکت ها می توانند در نهایت تحت تأثیر قرار گیرند همچنین. تیم کربن بلک VMware، مانند محققان امنیتی مایکروسافت، گفت که آنها معتقدند کمپین فعلی فقط منادی حملات بیشتر مربوط به ChromeLoader است.

VMware در مشاوره خود گفت: "تیم Carbon Black MDR معتقد است که این یک تهدید نوظهور است که باید ردیابی و جدی گرفته شود."