🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Măng Cành, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 CỔNG THÔNG TIN ĐIỆN TỬ XÃ ĐẠ ĐỜN đã đăng ký tín nhiệm. 🔥                    🔥 Uỷ Ban Nhân Dân Thị Trấn Chợ Rã đã đăng ký tín nhiệm. 🔥                    🔥 Văn phòng Ủy ban nhân dân tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                   

Mã độc ChromeLoader đang được phát tán dưới dạng các tệp VHD giả mạo các trò chơi phổ biến

27/02/2023

Các nhà nghiên cứu bảo mật đã phát hiện ra những kẻ đứng sau chiến dịch phần mềm quảng cáo và chiếm quyền điều khiển trình duyệt ChromeLoader hiện đang sử dụng các tệp VHD có tên được đặt theo các trò chơi phổ biến.

Các tệp độc hại được Trung tâm ứng cứu khẩn cấp an ning mạng Ahnlab (ASEC) phát hiện thông qua kết quả tìm kiếm của Google đối với các truy vấn đến các trò chơi phổ biến.

Kết quả Google Tìm kiếm dẫn đến các trang web phát tán phần mềm quảng cáo (ASEC)

Các tựa game đã bị lạm dụng cho mục đích phát tán mã độc quảng cáo đã được phát hiện bao gồm Elden Ring, ROBLOX, Dark Souls 3, Red Dead Redemption 2, Need for Speed, Call of Duty, Portal 2, Minecraft, Legend of Zelda, Pokemon, Mario Kart, Animal Crossing,...

Một mạng lưới các trang web quảng cáo độc hại lưu trữ các tệp độc hại, trông có vẻ giống các phần mềm (package) hợp pháp liên quan đến các trò chơi, dùng để cài đặt tiện ích bổ sung (extension) ChromeLoader.

Một khi được cài đặt, ChromeLoader chiếm quyền tìm kiếm của trình duyệt để hiển thị quảng cáo. Nó còn có khả năng sửa đổi cài đặt trình duyệt và thu thập thông tin đăng nhập cũng như dữ liệu trên trình duyệt.

Theo Red Canary, phần mềm độc hại này trở nên phổ biến hơn vào tháng 5 năm 2022. Đến tháng 9 cùng năm, VMware đã báo cáo về các biến thể mới thực hiện các hoạt động mạng tinh vi hơn. Trong một số trường hợp, tác nhân đe dọa thậm chí còn sử dụng nó để phát tán mã độc tống tiền (ransomware) Enigma.

Trước đây, trong tất cả các trường hợp đã phát hiện trong năm 2022, ChromeLoader xuất hiện trên các hệ thống bị nhiễm dưới dạng tệp ISO. Tuy nhiên, gần đây, những kẻ đe dọa dường như đã chuyển hướng sang phát tán dưới dạng tệp VHD.

Các tệp VHD có thể dễ dàng gắn (mount) vào hệ thống Windows và được nhiều phần mềm ảo hóa hỗ trợ.

Trong số các tệp độc hại được phát hiện, chỉ một trong số chúng, một shortcut có tên "Install.lnk," có thể nhìn thấy được. Việc triển khai shortcut sẽ dẫn đến thực thi một tập lệnh batch (batch script) để giải nén nội dung của tệp ZIP.

Tiếp theo, tệp batch kích hoạt tệp "data.ini" để tải và thực thi payload (thành phần, phần mềm hoặc tệp độc hại) cuối cùng từ một máy chủ từ xa.

Theo ASEC, ChromeLoader sẽ chuyển hướng người dùng đến các trang web quảng cáo để thu lợi cho những kẻ khai thác.

Các nhà nghiên cứu cho biết rằng các địa chỉ lưu trữ payload không thể truy cập được sau một thời gian. Họ lưu ý rằng tiện ích mở rộng Chrome độc ​​hại mà ChromeLoader tạo và thực thi cũng có khả năng thu thập thông tin xác thực được lưu trữ trong trình duyệt.

Báo cáo của ASEC cung cấp một số chỉ báo về sự xâm phạm (IOCs) có thể giúp phát hiện mối đe dọa ChromeLoader.

Người dùng nên tránh tải xuống trò chơi từ các nguồn không chính thức hoặc không tin cậy cũng như các bản crack cho các sản phẩm phổ biến vì chúng thường có rủi ro bảo mật cao.

Nguồn: bleepingcomputer.com.

scrolltop