محققان امنیتی در حال به صدا درآوردن آلارم ابزار بدافزاری به نام ChromeLoader هستند. این اولین بار در ژانویه به عنوان یک سرقت کننده اعتبار مرورگر متمرکز بر مصرف کننده ظاهر شد، اما اکنون به یک تهدید گسترده و چند وجهی برای سازمان ها در صنایع مختلف تبدیل شده است.
در توصیهای که در 19 سپتامبر منتشر شد، محققان تیم تشخیص و پاسخ مدیریت شده Carbon Black VMware گفتند که اخیرا مشاهده کردهاند که بدافزار مورد استفاده برای پرتاب باجافزار، سرقت دادههای حساس و استقرار به اصطلاح بمبهای فشردهسازی (یا zip) برای خراب کردن سیستمها است. .
محققان گفتند که صدها حمله را مشاهده کردهاند که شامل نسخههای جدیدتر بدافزار است که شرکتهای خدمات تجاری، آموزش، دولت، مراقبتهای بهداشتی و چندین بخش دیگر را هدف قرار میدهد.
این کمپین طی چند ماه گذشته تغییرات زیادی را پشت سر گذاشته است ما انتظار نداریم که متوقف شودمحققان هشدار دادند. ضروری است که این صنایع به شیوع این [تهدید] توجه داشته باشند و برای پاسخ به آن آماده شوند.»
کمپین در حال انجام و رایج
هشدار VMware در مورد یک عامل تهدیدی که آنها با نام DEV-0796 دنبال میکنند، که از ChromeLoader در یک کمپین تقلب کلیک گسترده و مداوم استفاده میکند، تکرار شد. در یک سری توییت، محققان گفتند که مهاجمان سایبری بودند تلاش برای کسب درآمد از کلیک ها ایجاد شده توسط یک افزونه مرورگر یا گره وب کیت مرورگر که ChromeLoader مخفیانه در دستگاه های کاربر متعددی دانلود کرده بود.
بر اساس تجزیه و تحلیل مایکروسافت، "این کمپین با یک فایل ISO شروع می شود که زمانی که کاربر روی تبلیغات مخرب یا نظرات YouTube کلیک می کند دانلود می شود." هنگامی که باز می شود، فایل ISO. گره وب کیت مرورگر (NW.js) یا یک پسوند مرورگر را نصب می کند.
محققان مایکروسافت افزودند: «ما همچنین شاهد استفاده از فایلهای DMG بودهایم که نشاندهنده فعالیت چند پلتفرمی است».
ChromeLoader (معروف به ChromeBack یا Choziosi Loader) در ژانویه زمانی که محققان مشاهده کردند که اپراتورهای بدافزار از آن برای رها کردن یک برنامه افزودنی مرورگر مخرب به عنوان یک بار در سیستم های کاربر استفاده می کنند، توجه را به خود جلب کرد. این بدافزار کاربرانی را هدف قرار میدهد که از سایتهایی بازدید میکردند که بازیهای ویدیویی کرک شده و تورنتهای غیرقانونی را تبلیغ میکردند.
محققان تیم شکار تهدید واحد 42 شبکه پالو آلتو ناقل عفونت را شرح داد مانند شروع با اسکن یک کد QR در آن سایت ها توسط کاربر به قصد دانلود محتوای دزدی. کد QR کاربر را به یک وبسایت در معرض خطر هدایت میکند، جایی که آنها را متقاعد میکند تا یک تصویر .ISO را دانلود کند که ادعا میکرد فایل دزدی است، که حاوی یک فایل نصبکننده و چندین فایل مخفی دیگر است.
هنگامی که کاربران فایل نصب کننده را راه اندازی کردند، پیامی دریافت کردند که نشان می داد دانلود ناموفق بوده است - در حالی که در پس زمینه یک اسکریپت PowerShell در بدافزار یک برنامه افزودنی مخرب Chrome را در مرورگر کاربر دانلود کرده است، محققان واحد 42 دریافتند.
تکامل سریع
از زمان ورود به صحنه در اوایل سال جاری، نویسندگان این بدافزار نسخههای متعددی را منتشر کردهاند که بسیاری از آنها به قابلیتهای مخرب متفاوتی مجهز شدهاند. یکی از آنها نسخه ای به نام Bloom.exe است که در ماه مارس ظاهر شد و از آن زمان حداقل 50 مشتری کربن بلک VMware را آلوده کرده است. محققان VMware گفتند که آنها این بدافزار را مشاهده کردند که برای استخراج داده های حساس از سیستم های آلوده استفاده می شود.
نوع دیگری از ChromeLoader برای انداختن بمبهای فشرده روی سیستمهای کاربر، یعنی فایلهای بایگانی مخرب استفاده میشود. کاربرانی که روی فایلهای فشردهسازی تسلیحاتی کلیک میکنند، در نهایت بدافزاری را راهاندازی میکنند که سیستمهایشان را با دادهها بارگیری میکند و آنها را از کار میاندازد. و از ماه آگوست، اپراتورهای نوع CrashLoader با نام مناسب از این بدافزار برای توزیع یک خانواده باج افزار به نام Enigma استفاده کرده اند.
تاکتیک های مخرب به روز شده ChromeLoader
همراه با محمولهها، تاکتیکهای واداشتن کاربران به دانلود ChromeLoader نیز تکامل یافته است. به عنوان مثال، محققان VMware Carbon Black گفتند که آنها جعل هویت سرویسهای مختلف قانونی توسط نویسنده بدافزار را دیدهاند تا کاربران را به ChromeLoader هدایت کند.
VMware در گزارش خود می گوید یکی از سرویس هایی که آنها جعل هویت کرده اند OpenSubtitles است، سایتی که برای کمک به کاربران در یافتن زیرنویس برنامه های تلویزیونی و فیلم های محبوب طراحی شده است. دیگری FLB Music Play است که سایتی برای پخش موسیقی است.
VMware گفت: «نرمافزار جعلشده همراه با یک برنامه تبلیغاتی استفاده میشود که ترافیک وب را تغییر مسیر میدهد، اعتبارنامهها را میدزدد، و دانلودهای مخرب دیگری را که بهعنوان بهروزرسانیهای قانونی معرفی میشوند، توصیه میکند.
اغلب، مشتریان هدف اصلی بدافزارهایی مانند ChromeLoader هستند. اما با توجه به اینکه بسیاری از کارمندان اکنون از خانه کار می کنند و اغلب از دستگاه های شخصی خود برای دسترسی به داده ها و برنامه های سازمانی استفاده می کنند. شرکت ها می توانند در نهایت تحت تأثیر قرار گیرند همچنین. تیم کربن بلک VMware، مانند محققان امنیتی مایکروسافت، گفت که آنها معتقدند کمپین فعلی فقط منادی حملات بیشتر مربوط به ChromeLoader است.
VMware در مشاوره خود گفت: "تیم Carbon Black MDR معتقد است که این یک تهدید نوظهور است که باید ردیابی و جدی گرفته شود."