Các nhà nghiên cứu bảo mật đã phát hiện ra những kẻ đứng sau chiến dịch phần mềm quảng cáo và chiếm quyền điều khiển trình duyệt ChromeLoader hiện đang sử dụng các tệp VHD có tên được đặt theo các trò chơi phổ biến.
Các tệp độc hại được Trung tâm ứng cứu khẩn cấp an ning mạng Ahnlab (ASEC) phát hiện thông qua kết quả tìm kiếm của Google đối với các truy vấn đến các trò chơi phổ biến.
Kết quả Google Tìm kiếm dẫn đến các trang web phát tán phần mềm quảng cáo (ASEC)
Các tựa game đã bị lạm dụng cho mục đích phát tán mã độc quảng cáo đã được phát hiện bao gồm Elden Ring, ROBLOX, Dark Souls 3, Red Dead Redemption 2, Need for Speed, Call of Duty, Portal 2, Minecraft, Legend of Zelda, Pokemon, Mario Kart, Animal Crossing,...
Một mạng lưới các trang web quảng cáo độc hại lưu trữ các tệp độc hại, trông có vẻ giống các phần mềm (package) hợp pháp liên quan đến các trò chơi, dùng để cài đặt tiện ích bổ sung (extension) ChromeLoader.
Một khi được cài đặt, ChromeLoader chiếm quyền tìm kiếm của trình duyệt để hiển thị quảng cáo. Nó còn có khả năng sửa đổi cài đặt trình duyệt và thu thập thông tin đăng nhập cũng như dữ liệu trên trình duyệt.
Theo Red Canary, phần mềm độc hại này trở nên phổ biến hơn vào tháng 5 năm 2022. Đến tháng 9 cùng năm, VMware đã báo cáo về các biến thể mới thực hiện các hoạt động mạng tinh vi hơn. Trong một số trường hợp, tác nhân đe dọa thậm chí còn sử dụng nó để phát tán mã độc tống tiền (ransomware) Enigma.
Trước đây, trong tất cả các trường hợp đã phát hiện trong năm 2022, ChromeLoader xuất hiện trên các hệ thống bị nhiễm dưới dạng tệp ISO. Tuy nhiên, gần đây, những kẻ đe dọa dường như đã chuyển hướng sang phát tán dưới dạng tệp VHD.
Các tệp VHD có thể dễ dàng gắn (mount) vào hệ thống Windows và được nhiều phần mềm ảo hóa hỗ trợ.
Trong số các tệp độc hại được phát hiện, chỉ một trong số chúng, một shortcut có tên "Install.lnk," có thể nhìn thấy được. Việc triển khai shortcut sẽ dẫn đến thực thi một tập lệnh batch (batch script) để giải nén nội dung của tệp ZIP.
Tiếp theo, tệp batch kích hoạt tệp "data.ini" để tải và thực thi payload (thành phần, phần mềm hoặc tệp độc hại) cuối cùng từ một máy chủ từ xa.
Theo ASEC, ChromeLoader sẽ chuyển hướng người dùng đến các trang web quảng cáo để thu lợi cho những kẻ khai thác.
Các nhà nghiên cứu cho biết rằng các địa chỉ lưu trữ payload không thể truy cập được sau một thời gian. Họ lưu ý rằng tiện ích mở rộng Chrome độc hại mà ChromeLoader tạo và thực thi cũng có khả năng thu thập thông tin xác thực được lưu trữ trong trình duyệt.
Báo cáo của ASEC cung cấp một số chỉ báo về sự xâm phạm (IOCs) có thể giúp phát hiện mối đe dọa ChromeLoader.
Người dùng nên tránh tải xuống trò chơi từ các nguồn không chính thức hoặc không tin cậy cũng như các bản crack cho các sản phẩm phổ biến vì chúng thường có rủi ro bảo mật cao.
Nguồn: bleepingcomputer.com.
Tín nhiệm mạng | Ủy ban Thương mại Liên bang Mỹ (FTC) tiết lộ rằng Mỹ đã mất gần 8,8 tỷ đô la vì nhiều loại lừa đảo khác nhau vào năm 2022, tăng hơn 30% so với năm trước.
Tín nhiệm mạng | Apple đã cập nhật các tư vấn bảo mật được phát hành vào tháng trước để bổ sung ba lỗ hổng mới ảnh hưởng đến iOS, iPadOS, và macOS.
Tín nhiệm mạng | Các tác nhân đe dọa đang khai thác sự phổ biến của chatbot ChatGPT của OpenAI để phát tán phần mềm độc hại cho Windows và Android hoặc chuyển hướng mục tiêu đến các trang lừa đảo.
Tín nhiệm mạng | VMware đã phát hành một bản cập nhật vSphere ESXi mới để giải quyết sự cố khiến một số máy ảo Windows Server 2022 không khởi động được sau khi cài đặt bản cập nhật KB5022842 của tháng này.
Tín nhiệm mạng | MyloBot, một mạng botnet nguy hiểm và phức tạp, đã xâm phạm hàng nghìn hệ thống, hầu hết nằm ở Ấn Độ, Mỹ, Indonesia và Iran.
Tín nhiệm mạng | Samsung đã phát triển một hệ thống bảo mật mới có tên là Samsung Message Guard để giúp người dùng điện thoại thông minh Galaxy giữ an toàn trước các cuộc tấn công “không nhấp chuột” (zero-click) thông qua các tệp hình ảnh độc hại.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
