Warez ve Pirated Film Siteleri ziyaretçilerini Searing Korsanının yeni bir varyantıyla ve şampuan adlı reklam yazılımı tarayıcı uzantısı ile enfekte eden yeni bir kromel yükleyici kampanyası devam ediyor.
Yeni kampanyanın bu keşfi, operasyonun Mart 2023'ten beri devam ettiğini bildiren HP'nin tehdit araştırma ekibinden (Wolf Security) geliyor.
Chromeloader, istenmeyen yazılımı, sahte hediyeleri, anketleri, yetişkin oyunlarını, tanışma sitelerini ve diğer ilgisiz sonuçları tanıtmak için arama sonuçlarını yönlendiren tarayıcı uzantılarını zorlayan bir tarayıcı korsanlığıdır.
Kabaca bir yıl önce, Red Canary'deki analistler, Şubat 2022'de başlayan, şimdi Windows ile birlikte hedefleme kapsamında macOS dahil olmak üzere kromeload Dağıtımında ani bir artış bildirdiler.
Eylül ayında VMware ve Microsoft, fidye yazılımı da dahil olmak üzere ek kötü amaçlı yazılımlar bırakma deneysel yeteneğini içeren başka bir büyük kromel yükleyici kampanyası konusunda uyardı.
Daha yakın zamanlarda, Şubat 2023'te, ASEC'deki güvenlik araştırmacıları, Popüler Video Oyunları adını taşıyan VHD dosyalarına kromeloader kötü amaçlı yazılımların dağıtıldığı bir kampanya keşfetti.
HP'nin analistleri, Mart 2023'te başlayan kampanyada Chromeloader'ın telif hakkıyla korunan müzik, film veya video oyunlarının ücretsiz indirmelerini vaat eden bir kötü amaçlı web sitesi ağı aracılığıyla dağıtıldığını bildiriyor.
Meşru medya dosyaları veya yazılım yükleyicileri yerine, kurbanlar, kalıcılık için "chrome_" ile ön eklenmiş planlanmış bir görev oluşturan PowerShell komut dosyalarını yürüten VBScripts'i indirir.
Bu görev, "HKCU: \ Software \ Mirage Utilities \" olarak yeni bir PowerShell komut dosyasını kaydetmeyi indiren bir dizi komut dosyasını tetikler ve ayrıca kötü amaçlı krom uzantısı şampuanı getirir.
Şampuan, kurbanın ziyaret ettiği ve arama sorgusu yeniden yönlendirmelerini gerçekleştiren web sitelerine reklamlar enjekte edebilen bir kromeroader varyantıdır.
BleepingComputer tarafından analiz edilen bir örnekte, tarayıcı adres çubuğundan veya Google'dan gelen aramalar ilk olarak ythingAmgladt [.] Com'daki bir web sitesine ve ardından Bing arama sonuçlarına yönlendirilir.
Kötü niyetli uzantı kurulduktan sonra, kurbanın Chrome uzantıları ekranına erişmesini önler. Kullanıcılar bunun yerine bunu yapmaya çalışırken Chrome ayarları ekranına yönlendirilir.
Reklam yazılımının operasyonunun, arama yönlendirmelerinden ve reklamlardan gelir elde etmeyi amaçlayan finansal olarak motive edildiği düşünülmektedir.
Tabii ki, kurbanların bu yönlendirmeleri fark etmeleri zor değil, çünkü Google'da aradıklarını alamıyorlar, ancak kötü amaçlı yazılımları kaldırmak karmaşık.
Raporda HP, "Kromel yükleyici şampuanın çıkarılması, meşru bir uzantıyı kaldırmak kadar basit değil."
"Kötü amaçlı yazılım, kurban onu kaldırdığında veya cihazlarını yeniden başlattığında uzantıyı yeniden yüklemek için döngü komut dosyalarına ve Windows planlı bir göreve güveniyor."
Bu nedenle, kurban sistemi yeniden başlatırsa, krom kötü amaçlı yazılım geçici olarak devre dışı bırakılır, ancak hızlı bir şekilde yeniden yüklenir.
Chromeloader şampuanından kurtulmak için HP Wolf Security, kullanıcıların aşağıdaki adımları gerçekleştirebileceğini söylüyor:
BleepingComputer ayrıca, mevcutsa silinmesi gereken 'C: \ Users \\ AppData \ Chrome_Test' klasörüne kötü niyetli uzantıyı çıkaran PowerShell komut dosyalarını da buldu.
HP, döngü komut dosyası kötü amaçlı yazılımları yeniden yüklemeden önce bu kaldırma adımlarının hızlı bir şekilde tamamlanması gerektiği konusunda uyarır.
Web tarayıcınızda bir kromel yükleyici varyantının çalışıp çalışmadığını belirlemek için basit bir yöntem, Chrome'un "-load-extension" bağımsız değişkeniyle çalışıp çalışmadığını doğrulamaktır. Bir işlemin özelliklerini incelemek ve komut satırı bağımsız değişkenlerine bakın.
HP, kromel yükleyiciyle enfekte olan kurumsal ortamlarda çalışanların, şüpheli kaynaklardan yazılım indirerek işverenlerinin politikalarını kırmanın sonuçlarından korktuğu için BT departmanı meslektaşlarından yardım istemeye isteksiz olabileceğini açıklıyor.
Bununla birlikte, operatörler enfeksiyonlarından daha agresif para kazanma yolları aramaya karar vermesi durumunda, bu hala sisteminizde herhangi bir zamanda daha önemli hasara neden olabilecek bir Truva Truva atı olduğu için, reklam yazılımı tehdidi göz ardı edilmemeli veya küçümsenmemelidir.
Web mağazasından 75m yüklemeli kötü niyetli krom uzantılar
60.000'den fazla Android uygulaması son altı ay boyunca gizlice yüklü reklam yazılımı
VIPERSOFTX Info-Dayanan Kötü Yazılım Artık Şifre Yöneticilerini Hedefliyor
Google, aktif olarak sömürülen başka bir krom sıfır gün
Android kötü amaçlı yazılım, 100 metre yükleme ile 60 Google Play uygulamalarına sızıyor
Kaynak: Bleeping Computer