VMware e Microsoft hanno avvisato di una diffusa campagna di malware ChromeLoader che distribuisce diverse famiglie di malware.
ChromeLoader è un’estensione dannosa del browser Chrome, è classificato come un browser hijacker pervasivo che modifica le impostazioni del browser per reindirizzare il traffico degli utenti e dirottare le query di ricerca degli utenti ai motori di ricerca più diffusi, inclusi Google, Yahoo e Bing. Il codice dannoso è anche in grado di utilizzare PowerShell per iniettarsi nel browser e aggiungere l’estensione al browser.
I ricercatori di Red Canary, a maggio 2022, avevano osservato una campagna di malvertising che diffondeva il malware ChromeLoader, dirottando i browser delle vittime.
Adesso, VMware e Microsoft hanno avvertito di una diffusa campagna di malware Chromeloader in corso che sta rilasciando estensioni del browser dannose, malware node-WebKit e ransomware.
Microsoft ha identificato una diffusa campagna di frode sui clic in corso, attribuendola a un threat actor rintracciato come DEV-0796. Gli aggressori tentano di monetizzare i clic generati da un node-webkit del browser o da un’estensione del browser dannosa che hanno installato segretamente sui dispositivi delle vittime.
Questa catena di attacco inizia con un file ISO che viene scaricato quando un utente fa clic su annunci dannosi o commenti su YouTube. Una volta aperto il file ISO, viene installato un browser node-webkit (NW.js) o un’estensione del browser. Inoltre, gli esperti hanno osservato che gli aggressori utilizzano file DMG per prendere di mira anche i sistemi macOS.
VMware ha pubblicato un report che fornisce dettagli tecnici su più varianti di Chromeloader che la società ha osservato da agosto.
“Sebbene sia considerato solo un browser hijacker per rubare credenziali, ChromeLoader è stato visto nelle sue ultime varianti fornire malware più dannoso e utilizzato per altri scopi nefasti”, si legge nel report pubblicato dal colosso della virtualizzazione.
ChromeLoader è stato utilizzato fino alla fine di agosto per rilasciare ZipBomb su sistemi infetti (il malware è stato utilizzato per distruggere il sistema dell’utente sovraccaricandolo di dati). L’uso di ChromeLoader è stato osservato anche per scaricare Enigma Ransomware che viene distribuito in allegati HTML trovati nell’archivio ISO. All’apertura dell’allegato, avvierà il browser predefinito, eseguirà il suo javascript incorporato e quindi seguirà la sua catena di infezione standard.
Tra le altre varianti degne di nota, vi sono una versione falsa di OpenSubtitles – un programma legittimo che aiuta gli utenti a trovare i sottotitoli per film e programmi TV popolari – e una versione falsa di Flbmusic.exe – un programma legittimo per la riproduzione di musica multipiattaforma.
“Non sorprende che questo fastidioso adware sia stato uno dei nostri attacchi più frequenti. Questa campagna ha subito molti cambiamenti negli ultimi mesi e non ci aspettiamo che si fermi”, conclude VMware. “Come abbiamo visto nelle precedenti infezioni da Chromeloader, questa campagna sfrutta ampiamente powershell.exe ed è probabile che porti ad attacchi più sofisticati”.
https://securityaffairs.co/wordpress/135949/malware/chromeloader-malware-campaigns.html