恶意软件ChromeLoader使用VHD文件伪装成破解游戏和盗版软件

专家警告说，ChromeLoader 恶意软件活动背后的威胁参与者正在使用伪装成流行游戏的 VHD 文件。

Ahnlab 安全应急响应中心 (ASEC) 的研究人员最近发现了一个使用 VHD 文件分发ChromeLoader的恶意软件活动。

ChromeLoader是一种恶意的 Chrome 浏览器扩展程序，它被归类为一种普遍存在的浏览器劫持程序，它会修改浏览器设置以重定向用户流量。

这些 VHD 文件伪装成流行的任天堂和 Steam 游戏的应用程序和破解或破解，包括 ELDEN RING、黑暗之魂 3、荒野大镖客救赎2、使命召唤豪华版、我的世界、塞尔达传说、口袋妖怪终极月亮、Microsoft Office 2010等。

专家们通过在谷歌上查询流行的游戏和程序发现了这些文件，它们分布在多个网站上。（查看详细分析）

“从这些网站中的任何一个下载非法程序都会导致出现多个恶意广告网站。假定VHD文件是从这些广告网站之一下载的。”

安装恶意文件后，他们将安装ChromeLoader扩展程序。

恶意扩展将用户重定向到广告网站并收集浏览数据和凭据。

该恶意软件能够重定向用户的流量并将用户搜索查询劫持到流行的搜索引擎，包括谷歌、雅虎和必应。恶意代码还能够使用 PowerShell 将自身注入浏览器并将扩展程序添加到浏览器。

2022 年 5 月，来自Red Canary的研究人员观察到一批恶意广告传播了劫持受害者浏览器的ChromeLoader恶意软件。

2022 年 9 月，VMware和Microsoft警告说，一场持续的、广泛传播的Chromeloader恶意软件活动正在投放恶意浏览器扩展程序、node-WebKit恶意软件和勒索软件。

对VHD文件的分析揭示了除Install.lnk文件外的多个隐藏文件。

单击Install.lnk后，将执行properties.bat文件。

Install.lnk运行properties.bat文件，properties.bat 文件依次用tar命令解压“%AppData%”路径下的files.zip。files.zip 文件包含正常文件和与 node-webkit(nw.js) 相关的恶意js文件。node-webkit是一个使用 Chromium和 Node.js的网络应用程序。它可以通过nw.exe运行并引用package.json文件中写入的数据。”

然后批处理文件执行“data.ini”、一个 VBScript 和一个从远程服务器获取最后阶段有效负载的JavaScript。

该报告包括最近 ChromeLoader 活动的威胁指标 (IoC)。

“最近，使用磁盘映像文件的恶意软件有所增加。将恶意软件伪装成游戏黑客和破解程序是许多威胁行为者采用的一种方法。”总结来说：“用户在执行从未知来源下载的文件时必须特别谨慎，建议用户从其官方网站下载程序。AhnLab 的反恶意软件产品V3使用以下别名检测并阻止恶意软件。”

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/4439.html