کمیته رکن چهارم – دو شرکت مایکروسافت و ویامور درباره یک کارزار بدافزاری به نام Chromeloader به کابربران هشدار دادند.
بدافزار Chromeloader نمونهای بارز از کارزارهای بدافزاری است که به عنوان یک ابزار تبلیغاتی شروع به کار کرده و ضمن سرقت دادههای ذخیرهشده در مرورگرها، با بکارگیری کدهای مخرب قویتر، قابلیتهای پرسودی برای تبلیغات کاذب فراهم میکنند.
شرکتهای مایکروسافت و ویامور با هشدار درخصوص فعالیت گسترده کارزار بدافزاری Chromeloader اعلام کردهاند: مهاجمان در این کارزار اقدام به بکارگیری افزونههای مخرب مرورگر، بدافزار Node-WebKit و حتی در برخی موارد باجافزار میکنند.
محققان ضمن اظهار افزایش آلودگی از طریق کارزار بدافزاری Chromeloader در سه ماه اول سال ۲۰۲۲، در خصوص خطرات بدافزارهای موسوم به Browser Hijacker هشدار دادهاند که برای بازاریابی و کلاهبرداری تبلیغاتی استفاده میشوند.
مهاجمان در کارزار بدافزاری Chromeloader، مرورگر Chrome را از طریق یک افزونه مخرب آلوده کرده و با فریب کاربران، آنان را به سایتهای تبلیغاتی کاذب هدایت میکنند تا بدین صورت برای خود درآمد کسب کنند.
محققان امنیتی پالو آلتو نتورکس (Palo Alto Networks) نیز در گزارش خود اعلام کردند که Chromeloader به یک سارق اطلاعات تبدیل شده و تلاش میکند تا ضمن تبلیغات دروغین، دادههای ذخیرهشده در مرورگرها را سرقت کند.
شرکت مایکروسافت نیز در ۲۵ شهریور ماه در خصوص کارزار کلاهبرداری گسترده گروه DEV-۰۷۹۶ هشدار داد که در آن، از کارزار Chromeloader برای آلوده کردن قربانیان به گونههای مختلفی از بدافزار استفاده میشود.
محققان ویامور نیز با انتشار یک گزارش فنی به نشانی زیر، انواع مختلف Chromeloader را که در دو ماه اخیر توسط مهاجمان بکار گرفته شده، تشریح و اعلام کردهاند برخی از آنان از کدهای بسیار مخربتری نیز استفاده میکنند.
بدافزارهای مخرب در این کارزار از طریق فایلهای ISO، در قالب تبلیغات مخرب و همچنین تغییر مسیر مرورگر و یا حتی دیدگاههای مرتبط با فیلمهای ویدیویی YouTube توزیع میشوند.
چندی پیش مایکروسافت اعلام کرد که به طور پیشفرض ماکروهای Office را مسدود میکند، از آن زمان فایلهای ISO به روشی محبوبی برای توزیع بدافزار تبدیل شده است.
علاوه بر این، با دوبار کلیک بر روی فایل ISO در Windows ۱۰ و نسخههای جدیدتر Windows، این فایلها به طور خودکار به عنوان یک CDROM تحت یک درایو جدید نصب و تبدیل به روشی کارآمد برای توزیع همزمان چندین فایل بدافزاری شده است.
فایلهای ISO در کارزار ChromeLoader معمولاً شامل چهار فایل است، یک فایل فشرده ZIP حاوی بدافزار، یک فایل ICON، یک فایل Batch نصب کننده بدافزار (که معمولاً Resources.bat نامیده میشود) و یک میانبر Windows که فایل Batch را راهاندازی میکند.
ویامور در بخشی از تحقیقات خود، از ابتدای سال۲۰۲۲، حداقل ده نوع Chromeloader را نمونهبرداری کرده که جالبترین آنها پس از آگوست مشاهده شده است.
اولین نمونه، از برنامهای به نام OpenSubtitles که به کاربران کمک میکند زیرنویس فیلمها و برنامههای تلویزیونی را پیدا کنند، الگوبرداری میکند. در این کارزار، مهاجمان به جای فایل معمولResources.bat از فایلی به نام properties.bat استفاده میکنند که برای نصب بدافزار و ماندگاری در سیستم، اقدام به افزودن کلید در Registry میکند.
مورد قابل توجه دیگرFlbmusic.exe است که از پخشکننده موسیقی FLB تقلید کرده و از فریمورک نرمافزاری الکترون (Electron runtime) بهره گرفته است؛ Flbmusic.exe این امکان را برای بدافزار فراهم میکند تا ماژولهای اضافی را برای ارتباطات شبکه و جاسوسی از درگاهها راهاندازی کند.
برای برخی از انواع Chromeloader، حملات کمی مخربتر بودند و با استخراج ZipBomb، سیستم را با عملیات Unpacking گسترده مواجه میکردند.
بنا بر گزارش شرکت ویامور، تا اواخر آگوست، از ZipBomb برای آلوده کردن سیستمها استفاده شده است. ZipBomb در نفوذ اولیه با دو بار کلیک کاربر هنگام دانلود فایل پیوست توسط قربانی، بارگذاری و اجرا میشود. پس از اجرا، بدافزار، سیستم کاربر را با بارگذاری بیش از حد دادهها از کار میاندازد.
مخربتر از آن، آن دسته از کارزارهای Chromeloader است که اقدام به انتشار باجافزار Enigma در قالب یک فایل HTML میکنند. Enigma نوعی باجافزار قدیمی است که از یک نصبکننده (Installer) مبتنی بر JavaScript و یک فایل اجرایی تعبیه شده در آن استفاده میکند تا بتواند مستقیماً در مرورگر پیشفرض راهاندازی شود.
پس از تکمیل رمزگذاری، پسوند enigma. به نام فایلها اضافه میشود. این باجافزار، فایل readme.txt که حاوی دستورالعمل و پیامی برای قربانیان است را بارگذاری میکند.
منبع : مرکز مدیریت راهبردی افتا
