Les chercheurs en sécurité ont remarqué que les opérateurs de la campagne de piratage de navigateur et de logiciels publicitaires ChromeLoader utilisent désormais des fichiers VHD nommés d’après des jeux populaires. Auparavant, ces campagnes reposaient sur une distribution basée sur ISO.

Les fichiers malveillants ont été découverts par un membre du centre d’intervention d’urgence de sécurité Ahnlab (ASEC) via les résultats de recherche Google pour des requêtes sur des jeux populaires.

Résultats de recherche Google renvoyant à des sites de logiciels publicitaires

Parmi les titres de jeux abusés à des fins de distribution de logiciels publicitaires figurent Elden Ring, ROBLOX, Dark Souls 3, Red Dead Redemption 2, Need for Speed, Call of Duty, Portal 2, Minecraft, Legend of Zelda, Pokemon, Mario Kart, Animal Crossing et plus.

Un réseau de sites de malvertising distribue les fichiers malveillants, qui apparaissent comme des packages légitimes liés au jeu, qui installent l’extension ChromeLoader.

ChromeLoader détourne les recherches du navigateur pour afficher des publicités. Il modifie également les paramètres du navigateur et collecte les informations d’identification et les données du navigateur.

Selon les données de Red Canary, le malware est devenu plus répandu en mai 2022. En septembre 2022, VMware a signalé de nouvelles variantes effectuant des activités réseau plus sophistiquées. Dans certains cas, l’acteur a même livré le rançongiciel Enigma.

Dans tous les cas observés tout au long de 2022, ChromeLoader est arrivé sur le système cible sous forme de fichier ISO. Dernièrement, les opérateurs semblent préférer le conditionnement VHD.

Les fichiers VHD peuvent être facilement montés sur un système Windows et sont pris en charge par plusieurs logiciels de virtualisation.

Les images incluent plusieurs fichiers, mais un seul d’entre eux, un raccourci appelé « Install.lnk », est visible. Le déploiement du raccourci déclenche l’exécution d’un script batch qui décompresse le contenu d’une archive ZIP.

Contenu des fichiers VHD

À l’étape suivante, le fichier de commandes exécute « data.ini », un VBScript et un JavaScript qui récupère la charge utile finale à partir d’une ressource distante.

Selon l’ASEC, ChromeLoader va commencer à rediriger vers des sites publicitaires, générant ainsi des revenus pour ses opérateurs.

Les chercheurs disent que les adresses hébergeant la charge utile ne sont plus accessibles. Ils notent que l’extension Chrome malveillante créée et exécutée par ChromeLoader peut également collecter des données d’identification stockées dans le navigateur.

Le rapport de l’ASEC fournit un bref ensemble d’indicateurs de compromis qui peuvent aider à détecter la menace ChromeLoader.

Il est conseillé aux utilisateurs d’éviter de télécharger des jeux à partir de sources non officielles et de se tenir à l’écart des fissures pour les produits populaires car ils présentent généralement un risque de sécurité élevé.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *