VMware e Microsoft avvertono di diffusi attacchi malware Chromeloader
Pubblicato da Angelo Domeneghini in Adware - Malware - Phishing - Ransomware - Spoofing - Trojan · 20 Settembre 2022
Tags: #vmware, #microsoft, #malware, #chromeloader
Tags: #vmware, #microsoft, #malware, #chromeloader
VMware e Microsoft avvertono di diffusi attacchi malware Chromeloader
Malware
VMware e Microsoft avvertono di una campagna di malware Chromeloader in corso e diffusa che si è evoluta in una minaccia più pericolosa, con la caduta di estensioni del browser dannose, malware node-WebKit e persino ransomware in alcuni casi.
Le infezioni da Chromeloader sono aumentate nel primo trimestre del 2022, con i ricercatori di Red Canary che hanno messo in guardia sui pericoli del browser hijacker utilizzato per l'affiliazione di marketing e le frodi pubblicitarie.
All'epoca, il malware infettava Chrome con un'estensione dannosa che reindirizzava il traffico degli utenti a siti pubblicitari per eseguire frodi sui clic e generare entrate per gli attori delle minacce.
Pochi mesi dopo, l'Unità 42 di Palo Alto Network ha notato che Chromeloader si stava evolvendo in un ladro di informazioni, tentando di strappare i dati memorizzati sui browser mantenendo le sue funzioni adware.
Venerdì sera, Microsoft ha avvertito di una "campagna di frode sui clic in corso ad ampio raggio" attribuita a un attore di minacce rintracciato come DEV-0796 che utilizza Chromeloader per infettare le vittime con vari malware.
Oggi, gli analisti di VMware hanno pubblicato un rapporto tecnico che descrive diverse varianti di Chromeloader utilizzate ad agosto e questo mese, alcune delle quali stanno eliminando payload molto più potenti.
Nuove varianti che rilasciano malware
Il malware ChromeLoader viene distribuito in file ISO distribuiti tramite annunci dannosi, reindirizzamenti del browser e commenti video di YouTube.
I file ISO sono diventati un metodo popolare per distribuire malware da quando Microsoft ha iniziato a bloccare le macro di Office per impostazione predefinita. Inoltre, quando si fa doppio clic su una ISO in Windows 10 e versioni successive, vengono automaticamente montati come CDROM con una nuova lettera di unità, rendendoli un modo efficiente per distribuire più file malware contemporaneamente.
Le ISO di ChromeLoader contengono comunemente quattro file, un archivio ZIP contenente il malware, un file ICON, un file batch (comunemente denominato Resources.bat) che installa il malware e un collegamento di Windows che avvia il file batch.
Come parte della loro ricerca, VMware ha campionato almeno dieci varianti di Chromeloader dall'inizio dell'anno, con la più interessante che è apparsa dopo agosto.
Cronologia dell'evoluzione di Chromeloader (VMware)
Il primo esempio è un programma che imita OpenSubtitles, un'utilità che aiuta gli utenti a individuare i sottotitoli per film e programmi TV. In questa campagna, gli attori delle minacce si sono allontanati dal loro solito file "Resources.bat" e sono passati a uno denominato "properties.bat", utilizzato per installare il malware e stabilire la persistenza aggiungendo chiavi di registro.
Un altro caso degno di nota è "Flbmusic.exe", che imita il lettore FLB Music, dotato di un runtime Electron e che consente al malware di caricare moduli aggiuntivi per la comunicazione di rete e lo snooping delle porte.
Per alcune varianti, gli attacchi sono diventati un po' distruttivi, estraendo ZipBomb che sovraccaricano il sistema con una massiccia operazione di spacchettamento.
"Fino alla fine di agosto, le ZipBomb sono state rilasciate su sistemi infetti. La ZipBomb viene rilasciata con l'infezione iniziale nell'archivio che l'utente scarica. L'utente deve fare doppio clic per eseguire la ZipBomb. Una volta eseguito, il malware distrugge il sistema dell'utente sovraccaricandolo di dati", spiega il report di VMware.
Ancora più preoccupante, le recenti varianti di Chromeloader sono state viste distribuire il ransomware Enigma in un file HTML.
Enigma è un vecchio ceppo di ransomware che utilizza un programma di installazione basato su JavaScript e un eseguibile incorporato in modo che possa essere avviato direttamente dal browser predefinito.
Dopo che la crittografia è stata completata, l'estensione del nome file ".enigma" viene aggiunta ai file, mentre il ransomware rilascia un file "readme.txt" contenente le istruzioni per le vittime.
L'adware non deve essere ignorato
Poiché l'adware non crea danni notevoli ai sistemi delle vittime, oltre a consumare un po' di larghezza di banda, di solito è una minaccia che viene ignorata o minimizzata dagli analisti.
Tuttavia, ogni software che si annida nei sistemi senza essere rilevato è un candidato per problemi più significativi, poiché i suoi autori possono applicare modifiche che facilitano opzioni di monetizzazione più aggressive.
Sebbene Chromeloader sia nato come adware, è un perfetto esempio di come gli attori delle minacce stiano sperimentando payload più potenti, esplorando alternative più redditizie alla frode pubblicitaria.