Была замечена новая кампания по распространению вредоносного ПО ChromeLoader через файлы виртуального жесткого диска (VHD), что является отклонением от формата образа оптического диска ISO.
«VHD-файлы распространяются с именами файлов, которые делают их похожими на взломы или крэки для игр Nintendo и Steam» - говорится в отчете Центра экстренного реагирования на чрезвычайные ситуации AhnLab Security (ASEC).
ChromeLoader (он же Choziosi Loader или ChromeBack) первоначально появился в январе 2022 года как браузерный угонщик учетных данных, но с тех пор превратился в более мощную, многогранную угрозу, способную похищать конфиденциальные данные, устанавливать программы-выкупы и даже сбрасывать декомпрессионные бомбы.
Основная цель вредоносной программы - скомпрометировать веб-браузеры, такие как Google Chrome, и изменить настройки браузера, чтобы перехватить и направить трафик на сомнительные рекламные сайты. Более того, ChromeLoader стал использоваться в качестве канала для мошенничества с кликами, используя расширение браузера для монетизации кликов.
С момента своего появления на сцене вредоносная программа получила множество обновлений, многие из которых оснащены возможностями для взлома систем Windows и macOS. Переход на VHD-файлы - еще один признак того, что за последние несколько месяцев кампания претерпела множество изменений.
Цепочка заражения показывает, что основными целями являются пользователи, ищущие пиратское программное обеспечение и читы для видеоигр, что приводит к загрузке VHD-файлов с мошеннических веб-сайтов, появляющихся на страницах результатов поиска.
Среди используемых игр и популярных программ - Elden Ring, Dark Souls III, Red Dead Redemption 2, Need for Speed, Call of Duty, The Legend of Zelda: Breath of the Wild, Mario Kart 8 Deluxe, Super Mario Odyssey, Microsoft Office и Adobe Photoshop.
«Когда VHD-файл загружается через этот процесс, пользователь может легко принять вредоносный VHD-файл за программу, связанную с игрой», - заявили исследователи ASEC. «Маскировка вредоносного ПО под игровые взломы и кряки - это метод, используемый многими хакерами».
Чтобы снизить подобные риски, пользователям рекомендуется воздерживаться от перехода по подозрительным ссылкам и загружать программное обеспечение только из официальных источников.
Источник: https://thehackernews.com
