Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Рекламный вредонос ChromeLoader доставляется в целевые системы через поддельные установщики взломанных игр

28/02/23

Aaaaarghh

Исследователи безопасности из компании Ahnlab Security (ASEC) недавно обнаружили , что операторы вредоносной рекламной кампании ChromeLoader теперь используют для распространения «.vhd»-файлы, названные в честь популярных игр. Ранее такие кампании основывались на распространении аналогичных «.iso»-образов.

Вредоносные файлы были обнаружены одним из специалистов ASEC через результаты поиска Google по запросу бесплатного скачивания популярных игр, передает Securitylab.

Среди игр, используемых для распространения вышеупомянутого ПО: Elden Ring, ROBLOX, Dark Souls 3, Red Dead Redemption 2, Need for Speed, Call of Duty, Portal 2, Minecraft, Legend of Zelda, Pokemon, Mario Kart, Animal Crossing и другие.

Сеть вредоносных сайтов распространяет образы виртуальных дисков, которые выглядят как пакеты для установки игр. Однако при попытке запуска они устанавливают в браузер на основе Chromium вредоносное расширение ChromeLoader. Данное расширение перехватывает поисковые запросы браузера для показа рекламы, а также изменяет его настройки для сбора целого спектра пользовательских данных.

По информации компании Red Canary, данное вредоносное ПО широко распространилось в мае 2022 года. А в сентябре компания VMware сообщила о новых итерациях вредоносного софта, выполняющих более сложные сетевые действия. В некоторых случаях злоумышленники распространяли подобным образом программу-вымогатель Enigma.

В 100% случаев, замеченных в прошлом году, ChromeLoader доставлялся в целевую систему в виде файла виртуального диска с расширением «.iso». Однако в последнее время операторы почему-то отдают предпочтение файлам с расширением «.vhd». Оба варианта виртуальных дисков начиная с Windows 10 можно смонтировать в системе без установки дополнительного софта.

Такие образы обычно содержат целый ряд файлов, но большинство из них скрыты от глаз пользователя. Как правило, виден только ярлык с названием «Install.lnk». Запуск ярлыка начинает выполнение пакетного сценария, распаковывающего содержимое ZIP-архива, находящегося внутри образа. Полезная нагрузка загружается с удаленного ресурса.

Согласно данным ASEC, после своей установки ChromeLoader начинает перенаправлять пользователей на рекламные сайты, тем самым принося доход своим операторам. Действия далеко не самые зловредные, но приятного всё равно мало.

Исследователи отмечают, что адреса, на которых была размещена полезная нагрузка ChromeLoader, в настоящий момент недоступны. Однако это не значит, что киберпреступники уже не занимаются распространением новой версии рекламного вредоноса с другими источниками для скачивания полезной нагрузки.

Пользователям рекомендуется избегать загрузки взломанных игр и программного обеспечения из неофициальных источников. А лучше в принципе держаться подальше от «крякнутых» продуктов, поскольку именно в них злоумышленники обычно и встраивают вредоносное ПО.

Темы:Угрозырекламные вредоносыпиратское ПОAhnlab
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...