Primijećeno je da se nova kampanja malicioznog softvera ChromeLoader distribuiše putem datoteka virtualnog tvrdog diska (VHD), što označava odstupanje od ISO formata slike optičkog diska.
“Ovi VHD fajlovi se distribuišu s nazivima datoteka zbog kojih izgledaju kao hakovi ili krekovi za Nintendo i Steam igre” rekao je AhnLab Security Emergency Response Center (ASEC) u prošlosedmičnom izvještaju.
ChromeLoader (aka Choziosi Loader ili ChromeBack) prvobitno se pojavio u januaru 2022. godine kao krađa kredencijala za otmicu pretraživača, ali je od tada evoluirao u moćniju, višestruku pretnju sposobnu za krađu osjetljivih podataka, postavljanje ransomware-a, pa čak i bacanje dekompresijskih bombi.
Primarni cilj malicioznog softvera je kompromitirati web pretrazivače kao što je Google Chrome i modifikovati postavke pretraživača da presretne i usmjere promet na sumnjive web stranice za oglašavanje. Štaviše, ChromeLoader se pojavio kao kanal za provođenje prevare klikom korištenjem ekstenzije pretraživača za unovčavanje klikova.
Otkako je stigao na scenu, maliciozni softver je prošao kroz više verzija, od kojih su mnoge opremljene mogućnošću provale u Windows i macOS sisteme. Prelazak na VHD datoteke je još jedan znak da je kampanja prošla kroz mnoge promjene u posljednjih nekoliko mjeseci.
Lanac infekcije ukazuje na to da su korisnici koji traže piratski softver i varalice za video igre glavne mete, što dovodi do preuzimanja VHD datoteka sa lažnih web stranica koje se pojavljuju na stranicama rezultata pretraživanja.
Neki od naslova igara i popularnog softvera koji se koristi su Elden Ring, Dark Souls III, Red Dead Redemption 2, Need for Speed, Call of Duty, The Legend of Zelda: Breath of the Wild, Mario Kart 8 Deluxe, Super Mario Odyssey, Microsoft Office i Adobe Photoshop.
“Kada se VHD datoteka preuzme kroz ovaj proces, korisnik može lako zamijeniti maliciozni VHD fajl za program koji se odnosi na igru” rekli su ASEC istraživači. “Prikrivanje malicioznog softvera u igrice hakovanja i krekovanja je metoda koju koriste mnogi hakeri.”
Da bi se umanjili takvi rizici, preporučuje se korisnicima da se uzdrže od praćenja sumnjivih linkova i preuzimanja softvera samo iz zvaničnih izvora.
Izvor: The Hacker News
