Peneliti keamanan telah memperhatikan bahwa operator kampanye pembajakan dan adware browser ChromeLoader sekarang menggunakan file VHD yang dinamai dari game populer. Sebelumnya, kampanye semacam itu mengandalkan distribusi berbasis ISO.
File berbahaya ditemukan oleh anggota Pusat Tanggap Darurat Keamanan Ahnlab (ASEC) melalui hasil penelusuran Google hingga kueri untuk game populer
Di antara judul game yang disalahgunakan untuk tujuan distribusi adware adalah Elden Ring, ROBLOX, Dark Souls 3, Red Dead Redemption 2, Need for Speed, Call of Duty, Portal 2, Minecraft, Legend of Zelda, Pokemon, Mario Kart, Animal Crossing, dan lagi.
Jaringan situs malvertising mendistribusikan file berbahaya, yang muncul sebagai paket terkait game yang sah, yang memasang ekstensi ChromeLoader.
ChromeLoader membajak pencarian browser untuk menampilkan iklan. Itu juga mengubah pengaturan browser, dan mengumpulkan kredensial dan data browser.
Berdasarkan Kenari Merah data, malware menjadi lebih umum pada Mei 2022. Pada September 2022, dilaporkan VMware varian baru melakukan aktivitas jaringan yang lebih canggih. Dalam beberapa kasus, pelaku bahkan mengirimkan ransomware Enigma.
Dalam semua kasus yang terlihat sepanjang tahun 2022, ChromeLoader hadir di sistem target sebagai file ISO. Akhir-akhir ini, operator tampaknya lebih memilih kemasan VHD.
File VHD dapat dengan mudah dipasang di sistem Windows dan didukung oleh beberapa perangkat lunak virtualisasi.
Gambar menyertakan beberapa file tetapi hanya satu dari mereka, pintasan yang disebut “Install.lnk,” terlihat. Menyebarkan pintasan memicu eksekusi skrip batch yang mendekompresi konten arsip ZIP.
Pada langkah selanjutnya, file batch mengeksekusi “data.ini”, VBScript, dan JavaScript yang mengambil muatan akhir dari sumber daya jarak jauh.
Menurut ASEC, ChromeLoader akan mulai mengalihkan ke situs iklan, sehingga menghasilkan pendapatan bagi operatornya.
Para peneliti mengatakan bahwa alamat hosting payload tidak lagi dapat diakses. Mereka mencatat bahwa ekstensi Chrome berbahaya yang dibuat dan dijalankan oleh ChromeLoader juga dapat mengumpulkan data kredensial yang disimpan di browser.
Laporan ASEC menyediakan serangkaian indikator penyusupan yang dapat membantu mendeteksi ancaman ChromeLoader.
Pengguna disarankan untuk menghindari mengunduh game dari sumber tidak resmi, dan menjauhi crack untuk produk populer karena biasanya memiliki risiko keamanan yang tinggi.
