VMware และ Microsoft ออกมาแจ้งเตือนถึงแคมเปญมัลแวร์ Chromeloader ที่กำลังถูกใช้เพื่อแพร่กระจายมัลแวร์
ChromeLoader เป็น extension ของ Chrome browser ที่เป็นอันตราย ซึ่งจัดอยู่ในประเภท pervasive browser hijacker ที่จะปรับเปลี่ยนการตั้งค่าของเบราว์เซอร์เพื่อเปลี่ยนเส้นทางการรับส่งข้อมูลของผู้ใช้
มัลแวร์สามารถเปลี่ยนเส้นทางการรับส่งข้อมูลของผู้ใช้ และดักจับคำค้นหาของผู้ใช้ใน search engines ยอดนิยม ไม่ว่าจะเป็น Google, Yahoo และ Bing โดยโค้ดที่เป็นอันตรายนั้นยังสามารถใช้ PowerShell เพื่อแทรกตัวเองลงในเบราว์เซอร์ และเพิ่ม extension ลงในเบราว์เซอร์ได้ด้วย
ในเดือนพฤษภาคม นักวิจัยจาก Red Canary สังเกตเห็นแคมเปญโฆษณาที่ใช้แพร่กระจายมัลแวร์ ChromeLoader ที่จะทำการดักจับเบราว์เซอร์ของเหยื่อ โดยในสัปดาห์นี้ VMware และ Microsoft ได้ออกมาเตือนถึงแคมเปญมัลแวร์ Chromeloader ที่กำลังถูกใช้ในการโจมตี ซึ่งจะติดตั้ง extension บนเบราว์เซอร์ที่เป็นอันตราย, มัลแวร์ node-WebKit และแรนซัมแวร์
Microsoft มองว่าแคมเปญนี้มาจากผู้โจมตีที่ชื่อว่า DEV-0796 ซึ่งผู้โจมตีนั้นพยายามสร้างรายได้จากการคลิกที่สร้างโดย browser node-webkit หรือ extension บนเบราว์เซอร์ที่เป็นอันตราย ซึ่งจะแอบติดตั้งไว้บนอุปกรณ์ของเหยื่อ
แคมเปญนี้จะเริ่มต้นการโจมตีด้วยไฟล์ ISO ที่จะถูกดาวน์โหลดเมื่อผู้ใช้คลิกโฆษณาที่เป็นอันตรายหรือ YouTube comments เมื่อทำการเปิดไฟล์ ISO เบราว์เซอร์ node-webkit (NW.js) หรือ extension ของเบราว์เซอร์จะถูกติดตั้ง ซึ่งผู้เชี่ยวชาญยังสังเกตเห็นว่าผู้โจมตีใช้ไฟล์ DMG เพื่อกำหนดเป้าหมายบนระบบ macOS อีกด้วย
VMware ได้เผยแพร่รายงานที่ให้รายละเอียดทางเทคนิคเกี่ยวกับ Chromeloader หลายตัวที่บริษัทสังเกตเห็นตั้งแต่เดือนสิงหาคม และล่าสุดเมื่อปลายเดือนสิงหาคม ChromeLoader ถูกใช้เพื่อติดตั้ง ZipBombs ลงบนระบบที่ถูกโจมตี มัลแวร์นี้ถูกใช้เพื่อทำลายระบบของผู้ใช้ด้วยการโหลดข้อมูลที่มากจนเกินไป
ผู้เชี่ยวชาญยังสังเกตเห็นการใช้ ChromeLoader เพื่อดาวน์โหลด Enigma Ransomware ซึ่งส่งออกเป็นไฟล์แนบ HTML ที่พบในไฟล์ ISO โดยเมื่อเปิดไฟล์แนบ ก็จะมีการเปิดเบราว์เซอร์ และเรียกใช้จาวาสคริปต์ที่ฝังอยู่
เทคนิคการโจมตีอื่น ๆ ที่โดดเด่น คือ OpenSubtitles ในเวอร์ชันปลอม ซึ่งเป็นโปรแกรมที่ช่วยให้ผู้ใช้ค้นหาคำบรรยายสำหรับภาพยนตร์ และรายการทีวีที่เป็นที่นิยม และ Flbmusic.exe เวอร์ชันปลอม ซึ่งเป็นโปรแกรมที่ใช้สำหรับการเล่นเพลงข้ามแพลตฟอร์ม
Adware เป็นหนึ่งในการโจมตีที่พบบ่อยที่สุด โดยในแคมเปญนี้ได้ผ่านการเปลี่ยนแปลงมากมายในช่วงไม่กี่เดือนที่ผ่านมา แคมเปญนี้ใช้ประโยชน์จาก powershell.exe และมีแนวโน้มที่จะนำไปสู่การโจมตีที่ซับซ้อนมากขึ้น
ที่มา : securityaffairs
You must be logged in to post a comment.