Рекламный вредонос ChromeLoader доставляется в целевые системы через поддельные установщики взломанных игр

Исследователи безопасности из компании Ahnlab Security (ASEC) недавно обнаружили , что операторы вредоносной рекламной кампании ChromeLoader теперь используют для распространения «.vhd»-файлы, названные в честь популярных игр. Ранее такие кампании основывались на распространении аналогичных «.iso»-образов.

Вредоносные файлы были обнаружены одним из специалистов ASEC через результаты поиска Google по запросу бесплатного скачивания популярных игр.

Результаты поиска Google со ссылками на сайты с вредоносным ПО

Среди игр, используемых для распространения вышеупомянутого ПО: Elden Ring, ROBLOX, Dark Souls 3, Red Dead Redemption 2, Need for Speed, Call of Duty, Portal 2, Minecraft, Legend of Zelda, Pokemon, Mario Kart, Animal Crossing и другие.

Сеть вредоносных сайтов распространяет образы виртуальных дисков, которые выглядят как законные пакеты для установки игр. Однако при попытке запуска они устанавливают в браузер на основе Chromium вредоносное расширение ChromeLoader. Данное расширение перехватывает поисковые запросы браузера для показа рекламы, а также изменяет его настройки для сбора целого спектра пользовательских данных.

По информации компании Red Canary, данное вредоносное ПО широко распространилось в мае 2022 года. А в сентябре компания VMware сообщила о новых итерациях вредоносного софта, выполняющих более сложные сетевые действия. В некоторых случаях злоумышленники распространяли подобным образом программу-вымогатель Enigma.

В 100% случаев, замеченных в прошлом году, ChromeLoader доставлялся в целевую систему в виде файла виртуального диска с расширением «.iso». Однако в последнее время операторы почему-то отдают предпочтение файлам с расширением «.vhd». Оба варианта виртуальных дисков начиная с Windows 10 можно смонтировать в системе без установки дополнительного софта.

Такие образы обычно содержат целый ряд файлов, но большинство из них скрыты от глаз пользователя. Как правило, виден только ярлык с названием «Install.lnk». Запуск ярлыка начинает выполнение пакетного сценария, распаковывающего содержимое ZIP-архива, находящегося внутри образа. Полезная нагрузка загружается с удаленного ресурса.

Содержимое вредоносного файла «.vhd»

Согласно данным ASEC, после своей установки ChromeLoader начинает перенаправлять пользователей на рекламные сайты, тем самым принося доход своим операторам. Действия далеко не самые зловредные, но приятного всё равно мало.

Исследователи отмечают, что адреса, на которых была размещена полезная нагрузка ChromeLoader, в настоящий момент недоступны. Однако это не значит, что киберпреступники уже не занимаются распространением новой версии рекламного вредоноса с другими источниками для скачивания полезной нагрузки.

Пользователям рекомендуется избегать загрузки взломанных игр и программного обеспечения из неофициальных источников. А лучше в принципе держаться подальше от «крякнутых» продуктов, поскольку именно в них злоумышленники обычно и встраивают вредоносное ПО.