VMware, yeni ChromeLoader varyantlarının ciddi bir risk oluşturduğu konusunda uyardı



VMWare Inc.’den yeni bir rapor Karbon Siyahı Yönetilen Tespit ve Müdahale Ekibi bugün, son derece yaygın ChromeLoader kötü amaçlı yazılımının yükselişini, devam eden gelişimini ve hem bireyler hem de işletmeler için oluşturduğu ciddi riski ayrıntılarıyla anlatıyor.

İlk olarak Ocak ayında keşfedilen ChromeLoader, genellikle bir .iso optik disk görüntüsü olarak düşer ve bir kullanıcının tarayıcı kimlik bilgilerini çalmak, son çevrimiçi etkinliklerini toplamak ve reklamları görüntülemek için tarayıcı aramalarını ele geçirmek için kullanılır. İlk keşfedildiğinden bu yana, Mart 2022’deki bir macOS sürümü ve ChromeBack ve Choziosi Loader gibi diğerleri de dahil olmak üzere çeşitli varyantlar ortaya çıktı.

Araştırmacılar, bu tür kötü amaçlı yazılımların kullanıcıya reklam yazılımı beslemek amacıyla oluşturulmuş olmasına rağmen, ChromeLoader’ın virüslü bir sistemin saldırı yüzeyini de artırdığını açıklıyor. Bunu bilen bilgisayar korsanlarının Chromeloader ile diğer kötü amaçlar için daha fazla kötü amaçlı kötü amaçlı yazılım dağıttığı görüldü.

Kötü amaçlı yazılımın sunduğu gelişen tehdidi vurgulayarak, “Bloom” adlı bir Chromeloader çeşidi, ChromeLoader enfeksiyonlarına sahip müşteri ortamlarında bloom.exe adlı bir dosya bırakır. Bloom varyantının harici ağ bağlantıları yaptığı ve hassas verileri sızdırdığı gözlemlendi. Aynı bloom.exe saldırı zincirini takip eden ancak algılanmayı önlemek için farklı işlem adları ve karmalar kullanan bir dizi başka varyant da olmuştur.

Ağustos ayının sonlarında görülen bir varyant, Chromeloader’ın yanında “Zip bombaları” olarak adlandırılanları dağıtıyor. Dekompresyon bombası veya ölüm zipi olarak da bilinen Zip bombası, bir programa veya sisteme zarar vermek için tasarlanmış kötü amaçlı bir arşiv dosyasıdır. Bu durumda, Zip bombası çift tıklandığında, veri ile aşırı yüklenerek kullanıcının sistemini yok eder.

Kötü amaçlı yazılımın evriminde, ChromeLoader’dan farklı olmayan fidye yazılımları sıklıkla ortaya çıkar. ChromeLoader kullanan bir kampanyanın Enigma Ransomware’e HTML ekleri aracılığıyla katkıda bulunduğu bulundu. Ek açıldığında, varsayılan tarayıcıyı başlatacak, yerleşik javascript’ini çalıştıracak ve ardından standart şifreleme zincirini izleyecektir.

Başka bir kampanyada, ChromeLoader dağıtımcıları, kullanıcıların popüler filmler ve TV şovları için altyazı bulmasına yardımcı olmak için kullanılan bir program olan OpenSubtitles ve müzik çalar yazılımı FLB Music’in kimliğine büründü. Kimliğe bürünülmüş yazılım, web trafiğini yeniden yönlendiren, kimlik bilgilerini çalan ve meşru güncellemeler olarak gösterilen diğer kötü amaçlı indirmeleri öneren bir reklam yazılımı programıyla birlikte kullanılır. Ayrıca Chrome tarayıcı geçmişini de okur.

ChromeLoader distribütörlerinin de ticari hizmetleri hedeflediği tespit edildi. ChromeLoader’ın bulaştığı 50’den fazla VMware Carbon Black MDR müşterisinden virüs bulaşanların çoğu iş hizmetleri sektöründe, ardından devlet ve eğitim sektörlerinde bulunuyor.

Kampanyaların ve varyasyonların evrimi göz önüne alındığında, araştırmacılar, ChromeLoader enfeksiyonlarının daha geniş kitlelere kötü amaçlı kötü amaçlı yazılımlar dağıtan daha karmaşık saldırılara yol açmaya devam edeceği konusunda gerçek bir endişe olduğunu belirtiyorlar.

Araştırmacılar, “VMware Carbon Black MDR ekibi, bunun daha kötü niyetli kötü amaçlı yazılım sunma potansiyeli nedeniyle izlenmesi ve ciddiye alınması gereken yeni bir tehdit olduğuna inanıyor” dedi. “Daha önce bu reklam yazılımının sadece rahatsız edici bir kötü amaçlı yazılım olarak ele alındığı görüldü, ancak bu nedenle kötü amaçlı yazılım yazarları, Enigma fidye yazılımı gibi daha geniş saldırılar için avantaj elde edebilir ve kullanabilir.”

Resim: maksimum piksel

Uzmanlardan oluşan Cube Club ve Cube Event Topluluğumuza katılarak misyonumuza desteğinizi gösterin. Amazon Web Servisleri ve Amazon.com CEO’su Andy Jassy, ​​Dell Technologies’in kurucusu ve CEO’su Michael Dell, Intel CEO’su Pat Gelsinger ve daha birçok aydınlatıcı ve uzmanı içeren topluluğa katılın.


Kaynak : https://siliconangle.com/2022/09/19/vmware-warns-new-chromeloader-variants-pose-serious-risk/

Yorum yapın