微軟發出警告 惡意軟體ChromeLoader數量暴增遍布全球
VMware 和 Microsoft 警告說,Chromeloader 惡意軟體正在行動,該軟體已演變為更危險的威脅,包含惡意瀏覽器擴展、node-WebKit 惡意軟體,甚至還有一些勒索軟體。
Chromeloader 感染在 2022 年第一季度激增,Red Canary 的研究人員警告說,瀏覽器用戶將陷入營銷和廣告欺詐的危險。
該惡意軟體使用惡意擴展程序感染 Chrome,該擴展程序再將用戶流量重定向到廣告網站,並騙用戶去點擊。
然而。Palo Alto Network 的 Unit 42還注意到 Chromeloader 正在演變為資訊竊取的工具,他們在保留其廣告惡意軟體功能的同時,竊取用戶瀏覽器上的數據。
週五晚上,微軟警告稱,正在進行的「廣泛的點擊欺詐活動」,利用Chromeloader 感染散播惡意軟體,是代號為DEV-0796的用戶所為。
今天,VMware 的分析師發布了一份技術報告,描述了 8 月和本月使用的各種Chromeloader 變體,其中一些又更加惡意。作為新變種丟棄惡意軟件,ChromeLoader 惡意軟件以 ISO 文件的形式出現,這些文件通過惡意廣告、瀏覽器重定向和 YouTube 影片評論來散播。
自從 Microsoft 開始默認阻止 Office巨集以來,ISO 文件已成為分發惡意軟體的流行方法。 此外,在 Windows 10 及更高版本中雙擊 ISO 時,它們會自動作為 CDROM 並掛載到新的驅動器下,這使它們成為一次分發多個惡意軟體文件的有效方式。
ChromeLoader ISO 通常包含四個文件,一個包含惡意軟件的 ZIP 檔、一個 ICON 文件、一個安裝惡意軟體的批次檔案(通常名為 Resources.bat),以及一個啟動批次檔案的 Windows 快捷。
更令人擔憂的是,最近的 Chromeloader 變體已在 HTML 文件中部署 Enigma 勒索軟件。Enigma 是一種舊的勒索軟件,它使用基於 JavaScript 的安裝程式和嵌入式可執行文件,因此可以直接從默認瀏覽器啟動。
加密完成後,「.enigma」文件擴展名會附加到文件中,而勒索軟件會刪除一個包含受害者指令的「readme.txt」文件。
由於廣告軟體並不會對受害者的系統造成顯著損害,除了佔用一些記憶體外,它通常是分析師忽略或淡化的威脅。
但是,每個嵌入系統而未被檢測到的軟體都可能帶來更大的威脅,因為其作者可能會利用修改以造成傷害。Chromeloader 最初就作為廣告軟體,但現在卻成為壞人的武器。(記者/莊閔棻)
參考資料:SecNews
瀏覽 620 次