• Добро пожаловать в Пиратскую Бухту! Чтобы получить полный доступ к форуму пройдите регистрацию!
  • Гость, стой!

    В бухте очень не любят флуд и сообщения без смысловой нагрузки!
    Чтобы не получить бан, изучи правила форума!

    Если хотите поблагодарить автора темы, или оценить реплику пользователя, для этого есть кнопки: "Like" и "Дать на чай".

Новости Рекламный вредонос ChromeLoader доставляется в целевые системы через поддельные установщики взломанных игр

Пригоршня

Штурман
Мудрец
Регистрация
26.10.16
Сообщения
2,233
Онлайн
38д 2ч 13м
Сделки
251
Нарушения
0 / 0
Montserrat Semi-Bold.png

Исследователи безопасности из компании Ahnlab Security (ASEC) недавно обнаружили, что операторы вредоносной рекламной кампании ChromeLoader теперь используют для распространения «.vhd»-файлы, названные в честь популярных игр. Ранее такие кампании основывались на распространении аналогичных «.iso»-образов.

Вредоносные файлы были обнаружены одним из специалистов ASEC через результаты поиска Google по запросу бесплатного скачивания популярных игр.

Среди игр, используемых для распространения вышеупомянутого ПО: Elden Ring, ROBLOX, Dark Souls 3, Red Dead Redemption 2, Need for Speed, Call of Duty, Portal 2, Minecraft, Legend of Zelda, Pokemon, Mario Kart, Animal Crossing и другие.

Сеть вредоносных сайтов распространяет образы виртуальных дисков, которые выглядят как законные пакеты для установки игр. Однако при попытке запуска они устанавливают в браузер на основе Chromium вредоносное расширение ChromeLoader. Данное расширение перехватывает поисковые запросы браузера для показа рекламы, а также изменяет его настройки для сбора целого спектра пользовательских данных.

По информации компании Red Canary, данное вредоносное ПО широко распространилось в мае 2022 года. А в сентябре компания VMware сообщила о новых итерациях вредоносного софта, выполняющих более сложные сетевые действия. В некоторых случаях злоумышленники распространяли подобным образом программу-вымогатель Enigma.

В 100% случаев, замеченных в прошлом году, ChromeLoader доставлялся в целевую систему в виде файла виртуального диска с расширением «.iso». Однако в последнее время операторы почему-то отдают предпочтение файлам с расширением «.vhd». Оба варианта виртуальных дисков начиная с Windows 10 можно смонтировать в системе без установки дополнительного софта.

Такие образы обычно содержат целый ряд файлов, но большинство из них скрыты от глаз пользователя. Как правило, виден только ярлык с названием «Install.lnk». Запуск ярлыка начинает выполнение пакетного сценария, распаковывающего содержимое ZIP-архива, находящегося внутри образа. Полезная нагрузка загружается с удаленного ресурса.

Согласно данным ASEC, после своей установки ChromeLoader начинает перенаправлять пользователей на рекламные сайты, тем самым принося доход своим операторам. Действия далеко не самые зловредные, но приятного всё равно мало.

Исследователи отмечают, что адреса, на которых была размещена полезная нагрузка ChromeLoader, в настоящий момент недоступны. Однако это не значит, что киберпреступники уже не занимаются распространением новой версии рекламного вредоноса с другими источниками для скачивания полезной нагрузки.

Пользователям рекомендуется избегать загрузки взломанных игр и программного обеспечения из неофициальных источников. А лучше в принципе держаться подальше от «крякнутых» продуктов, поскольку именно в них злоумышленники обычно и встраивают вредоносное ПО.
 
Сверху