Контакты
Подписка 2023
МЕНЮ
Контакты
Подписка

Microsoft предупредил о новой кампании ChromeLoader

21/09/22

VMware и Microsoft предупредили о продолжающейся широкомасштабной кампании ChromeLoader, в ходе которой устанавливаются вредоносные расширения браузера, вредоносные программы Node-WebKit (NW.js) и программы-вымогатели. Это передает Securitylab.

ChromeLoader был обнаружен в мае исследователями из Red Canary в ходе кампании вредоносной рекламы. ChromeLoader представляет собой перехватчик браузера, способный модифицировать настройки браузера жертвы, чтобы в результатах поиска отображались ресурсы с нежелательным ПО, мошенническими акциями и исследованиями, играми «для взрослых» и сайты знакомств.

Его операторы получают прибыль путем переадресации пользовательского трафика на рекламные сайты. От других перехватчиков подобного рода ChromeLoader отличается способностью сохранять постоянство на системе, масштабами атак и использованием PowerShell.

По словам Microsoft, в ходе кампании злоумышленники монетизируют клики, сгенерированные NW.js или вредоносным расширением браузера, тайно установленным на устройство. Microsoft приписывает атаку группировке DEV-0796.

content-img(470)

Цепочка атак начинается с ISO-файла, который загружается, когда пользователь нажимает на вредоносную рекламу или комментарии на YouTube. При открытии ISO-файла устанавливается NW.js или расширение браузера. Также используются DMG-файлы для атак на системы macOS.

VMware опубликовала отчет с техническими подробностями о нескольких вариантах ChromeLoader, которые компания наблюдала с августа.

  • В конце августа ChromeLoader использовался для сброса ZipBombs на зараженные системы, чтобы уничтожить систему пользователя путем перегрузки ее данными.
  • Также ChromeLoader использовался для загрузки программы-вымогателя Enigma, которая распространяется в HTML-вложениях, содержащихся в ISO-архиве. При открытии вложения он запустит браузер по умолчанию, выполнит встроенный JavaScript код, а затем будет следовать стандартной цепочке.
  • Кроме того, хакеры использовали поддельную версии программы OpenSubtitles, которая помогает пользователям находить субтитры для популярных фильмов и телешоу.
Темы:MicrosoftпоисковикиУгрозыRed Canary

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2022
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ

Еще темы...