عوامل تهدید مشاهده شدهاند که بدافزار ChromeLoader را از طریق فایلهایی که شبیه کرکها و مدهای بازی Nintendo و Steam هستند، توزیع میکنند.
به گفته محققان امنیتی Asec، فعالیت مخربی که اخیراً توسط این تیم مشاهده شده است به فایلهای تصویر دیسک VHD متکی است.
در توصیهای که روز پنجشنبه توسط این شرکت منتشر شد، آمده است: «وقتی یک فایل VHD از طریق این فرآیند دانلود میشود، کاربر به راحتی میتواند فایل VHD مخرب را با یک برنامه مرتبط با بازی اشتباه بگیرد.
لیستی از نام فایل های مورد استفاده در توزیع این بدافزار شامل چندین بازی محبوب از جمله Elden Ring، Red Dead Redemption 2 و Dark Souls 3 است.
برخی از فایلهای مشاهده شده نیز به عنوان برنامههای نرمافزاری محبوب از جمله Microsoft Office و Adobe Photoshop ظاهر شدهاند.
Asec نوشت: “همه چیز به جز فایل Install.lnk دارای ویژگی پنهان فعال است، بنابراین کاربران عادی فقط فایل Install.lnk را می بینند.”
پس از اینکه قربانیان روی آن فایل کلیک کردند، یک سری مراحل شروع می شود که در نهایت منجر به دانلود ChromeLoader می شود. سپس این ابزار تبلیغاتی از یک افزونه کروم برای انجام رفتارهای مخرب استفاده می کند.
در پست Asec آمده است: “افزونه مخرب ایجاد و اجرا شده توسط ChromeLoader به یک وب سایت تبلیغاتی هدایت می شود و داده های مرور کاربر را از طریق ربودن جمع آوری می کند.” “این برنامه قابلیت های مختلفی مانند جمع آوری اعتبار مرورگر و تغییر تنظیمات مرورگر را دارد.”
حملات ChromeLoader نشاندهنده افزایش بدافزار با استفاده از فایلهای تصویر دیسک است.
تیم Asec نوشت: پنهان کردن بدافزار به عنوان هک بازی و برنامههای کرک، روشی است که توسط بسیاری از عوامل تهدید استفاده میشود.
از سال گذشته، مواردی که فایلهای تصویر دیسک، مانند ISO و VHD، در توزیع بدافزار استفاده شدهاند، افزایش ثابتی داشته است.»
به همین دلیل، این توصیه به کاربران هشدار می دهد که در اجرای فایل های دانلود شده از منابع ناشناس محتاط باشند.
Asec در پایان گفت: “به کاربران توصیه می شود برنامه ها را از وب سایت های رسمی خود دانلود کنند.”
این سند تحقیقاتی چند هفته پس از آن ارائه شد که ChromeLoader در تجزیه و تحلیل تکنیک باج افزار توسط تیم والن، مدیر منطقه ای UKI و BeNeLux در Logpoint ذکر شد.
