-
14/01/2021
-
19
-
85 bài viết
Phát hiện biến thể mới của các phần mềm độc hại trong ChromeLoader
Các nhà nghiên cứu an ninh mạng đã phát hiện ra các biến thể mới của phần mềm độc hại đánh cắp thông tin ChromeLoader chỉ trong một khoảng thời gian ngắn.
Được sử dụng để chiếm quyền điều khiển trên trình duyệt của nạn nhân và hiển thị quảng cáo, ChromeLoader xuất hiện vào tháng 1 năm 2022 và đã được tải xuống tệp ISO hoặc DMG được quảng cáo thông qua mã QR trên Twitter và các trang web trò chơi miễn phí.
ChromeLoader xuất hiện vào tháng 1 năm 2022, được sử dụng để chiếm quyền điều khiển trên trình duyệt của nạn nhân, hiển thị quảng cáo, tải xuống tệp ISO hoặc DMG được quảng cáo thông qua mã QR trên Twitter và các trang web trò chơi miễn phí. Lây nhiễm dựa vào việc người dùng chủ quan tải xuống các torrent phim hoặc trò chơi video crack thông qua các quảng cáo độc hại trên các trang web và phương tiện truyền thông khác.
ChromeLoader cũng được đặt tên mã là Choziosi Loader và ChromeBack. Điều làm cho phần mềm quảng cáo đáng chú ý là nó được tạo như một tiện ích mở rộng của trình duyệt thay vì tệp thực thi Windows (.exe) hoặc Thư viện liên kết động (.dll).
Bên cạnh việc yêu cầu các quyền truy cập dữ liệu trình duyệt và thao tác web, nó cũng được thiết kế để kiểm soát các truy vấn tìm kiếm của người dùng trên Google, Yahoo và Bing, cho phép kẻ tấn công thu thập hành vi của người dùng một cách hiệu quả.
Trong khi biến thể Windows đầu tiên của phần mềm độc hại ChromeLoader được phát hiện vào tháng 1, phiên bản macOS của phần mềm độc hại này đã xuất hiện vào tháng 3 để phân phối tiện ích mở rộng giả mạo của Chrome (phiên bản 6.0) thông qua các tệp hình ảnh đĩa (DMG) sơ sài.
Theo phân tích mới từ Palo Alto Networks Unit 42 cho biết cuộc tấn công được biết đến sớm nhất liên quan đến phần mềm độc hại đã xảy ra vào tháng 12 năm 2021 bằng cách sử dụng tệp thực thi do AutoHotKey biên dịch thay cho các tệp ISO được quan sát sau đó.
"Phần mềm độc hại này là một tệp thực thi được viết bằng AutoHotKey (AHK) - một khuôn khổ được sử dụng để tự động hóa tập lệnh".
Phiên bản đầu tiên này cũng được cho là thiếu khả năng che giấu mã độc hại của nó. Cho đến hiện nay, kẻ đứng sau ChromeLoader đã phát hành nhiều phiên bản mã khác nhau, sử dụng nhiều frameworks, các tính năng nâng cao, trình xóa mã hỗ trợ nâng cao, các sự cố đã khắc phục và thậm chí thêm hỗ trợ nhiều hệ điều hành nhắm mục tiêu đến cả Windows và macOS.
ChromeLoader xuất hiện vào tháng 1 năm 2022, được sử dụng để chiếm quyền điều khiển trên trình duyệt của nạn nhân, hiển thị quảng cáo, tải xuống tệp ISO hoặc DMG được quảng cáo thông qua mã QR trên Twitter và các trang web trò chơi miễn phí. Lây nhiễm dựa vào việc người dùng chủ quan tải xuống các torrent phim hoặc trò chơi video crack thông qua các quảng cáo độc hại trên các trang web và phương tiện truyền thông khác.
ChromeLoader cũng được đặt tên mã là Choziosi Loader và ChromeBack. Điều làm cho phần mềm quảng cáo đáng chú ý là nó được tạo như một tiện ích mở rộng của trình duyệt thay vì tệp thực thi Windows (.exe) hoặc Thư viện liên kết động (.dll).
Bên cạnh việc yêu cầu các quyền truy cập dữ liệu trình duyệt và thao tác web, nó cũng được thiết kế để kiểm soát các truy vấn tìm kiếm của người dùng trên Google, Yahoo và Bing, cho phép kẻ tấn công thu thập hành vi của người dùng một cách hiệu quả.
Trong khi biến thể Windows đầu tiên của phần mềm độc hại ChromeLoader được phát hiện vào tháng 1, phiên bản macOS của phần mềm độc hại này đã xuất hiện vào tháng 3 để phân phối tiện ích mở rộng giả mạo của Chrome (phiên bản 6.0) thông qua các tệp hình ảnh đĩa (DMG) sơ sài.
"Phần mềm độc hại này là một tệp thực thi được viết bằng AutoHotKey (AHK) - một khuôn khổ được sử dụng để tự động hóa tập lệnh".
Phiên bản đầu tiên này cũng được cho là thiếu khả năng che giấu mã độc hại của nó. Cho đến hiện nay, kẻ đứng sau ChromeLoader đã phát hành nhiều phiên bản mã khác nhau, sử dụng nhiều frameworks, các tính năng nâng cao, trình xóa mã hỗ trợ nâng cao, các sự cố đã khắc phục và thậm chí thêm hỗ trợ nhiều hệ điều hành nhắm mục tiêu đến cả Windows và macOS.
Theo: The Hacker News
Chỉnh sửa lần cuối: