VMware e Microsoft alertam para novos ataques do Chromeloader

Malware evoluiu para uma ameaça mais perigosa que agora descarta extensões de navegador maliciosas, o malware node-WebKit e até ransomware
Da Redação
20/09/2022

A VMware e a Microsoft estão alertando sobre o surgimento de uma campanha contínua e generalizada do malware Chromeloader que evoluiu para uma ameaça mais perigosa, vista agora descartando extensões de navegador maliciosas, o malware node-WebKit e até ransomware em alguns casos.

As infecções pelo Chromeloader aumentaram no primeiro trimestre deste ano, com pesquisadores da Red Canary alertando sobre os perigos do “sequestrador” de navegador usado para afiliação de marketing e fraude de publicidade. Naquele período, o malware infectou o Chrome com uma extensão maliciosa que redirecionava o tráfego do usuário para sites de publicidade para realizar fraudes de cliques e gerar receita para os operadores de ameaças.

Alguns meses depois, a Unit 42 da Palo Alto Network notou que o Chromeloader estava evoluindo para operar com ladrão de informações, tentando roubar dados armazenados nos navegadores e mantendo suas funções de adware.

Na sexta-feira passada, 16, a Microsoft alertou sobre uma “campanha contínua de fraude de cliques abrangente” atribuída a um operador de ameaças, rastreado como DEV-0796, usando o Chromeloader para infectar vítimas com vários malwares.

Nesta terça-feira, 20, analistas da VMware publicaram um relatório técnico descrevendo diferentes variantes do Chromeloader que foram usadas em agosto e neste mês, algumas das quais estão descartando cargas muito mais potentes.

O malware Chromeloader é entregue em arquivos ISO que são distribuídos por meio de anúncios maliciosos, redirecionamentos de navegador e comentários de vídeo do YouTube. Os arquivos ISO se tornaram um método popular para distribuir malware desde que a Microsoft começou a bloquear as macros do Office por padrão. Além disso, ao clicar duas vezes em um ISO no Windows 10 e versões posteriores, eles são montados automaticamente como um CD-ROM em uma nova letra de unidade, tornando-os uma maneira eficiente de distribuir vários arquivos de malware de uma só vez.

Veja isso
Ciberespiões usam extensão do Chrome para roubar e-mails
Cabeçalhos de segurança do Chrome desativados elevam risco na web

Os “ISOs” do ChromeLoader geralmente contêm quatro arquivos, um arquivo ZIP contendo o malware, um arquivo ICON, um arquivo de lote (comumente denominado Resources.bat) que instala o malware e um atalho do Windows que inicia o arquivo de lote. 

Como parte de sua pesquisa, a VMware testou ao menos dez variantes do Chromeloader desde o início do ano, com as mais interessantes aparecendo depois de agosto. O primeiro exemplo é um programa que imita o OpenSubtitles, um utilitário que ajuda os usuários a localizar legendas para filmes e programas de TV. Nessa campanha, os operadores de ameaças se afastaram de seu arquivo usual, o Resources.bat, e mudaram para um chamado “properties.bat”, usado para instalar o malware e estabelecer a persistência adicionando chaves do registro.

Outro caso notável é o “Flbmusic.exe”, que imita o FLB Music player, apresentando um tempo de execução Electron e permitindo que o malware carregue módulos adicionais para comunicação de rede e espionagem de porta. Para algumas variantes, os ataques se tornaram destrutivos, extraindo ZipBombs que sobrecarregam o sistema com uma operação massiva de descompactação.Embora o Chromeloader tenha começado como adware, é um exemplo perfeito de como os operadores de ameaças estão experimentando cargas úteis mais potentes, explorando alternativas mais lucrativas à fraude publicitária. Com agências de notícias internacionais.

Compartilhar:

Últimas Notícias