VMware และ Microsoft ออกมาแจ้งเตือนถึงแคมเปญมัลแวร์ Chromeloader ที่กำลังถูกใช้เพื่อแพร่กระจายมัลแวร์

ChromeLoader เป็น extension ของ Chrome browser ที่เป็นอันตราย ซึ่งจัดอยู่ในประเภท pervasive browser hijacker ที่จะปรับเปลี่ยนการตั้งค่าของเบราว์เซอร์เพื่อเปลี่ยนเส้นทางการรับส่งข้อมูลของผู้ใช้

มัลแวร์สามารถเปลี่ยนเส้นทางการรับส่งข้อมูลของผู้ใช้ และดักจับคำค้นหาของผู้ใช้ใน search engines ยอดนิยม ไม่ว่าจะเป็น Google, Yahoo และ Bing โดยโค้ดที่เป็นอันตรายนั้นยังสามารถใช้ PowerShell เพื่อแทรกตัวเองลงในเบราว์เซอร์ และเพิ่ม extension ลงในเบราว์เซอร์ได้ด้วย

ในเดือนพฤษภาคม นักวิจัยจาก Red Canary สังเกตเห็นแคมเปญโฆษณาที่ใช้แพร่กระจายมัลแวร์ ChromeLoader ที่จะทำการดักจับเบราว์เซอร์ของเหยื่อ โดยในสัปดาห์นี้ VMware และ Microsoft ได้ออกมาเตือนถึงแคมเปญมัลแวร์ Chromeloader ที่กำลังถูกใช้ในการโจมตี ซึ่งจะติดตั้ง extension บนเบราว์เซอร์ที่เป็นอันตราย, มัลแวร์ node-WebKit และแรนซัมแวร์

Microsoft มองว่าแคมเปญนี้มาจากผู้โจมตีที่ชื่อว่า DEV-0796 ซึ่งผู้โจมตีนั้นพยายามสร้างรายได้จากการคลิกที่สร้างโดย browser node-webkit หรือ extension บนเบราว์เซอร์ที่เป็นอันตราย ซึ่งจะแอบติดตั้งไว้บนอุปกรณ์ของเหยื่อ

แคมเปญนี้จะเริ่มต้นการโจมตีด้วยไฟล์ ISO ที่จะถูกดาวน์โหลดเมื่อผู้ใช้คลิกโฆษณาที่เป็นอันตรายหรือ YouTube comments เมื่อทำการเปิดไฟล์ ISO เบราว์เซอร์ node-webkit (NW.js) หรือ extension ของเบราว์เซอร์จะถูกติดตั้ง ซึ่งผู้เชี่ยวชาญยังสังเกตเห็นว่าผู้โจมตีใช้ไฟล์ DMG เพื่อกำหนดเป้าหมายบนระบบ macOS อีกด้วย

VMware ได้เผยแพร่รายงานที่ให้รายละเอียดทางเทคนิคเกี่ยวกับ Chromeloader หลายตัวที่บริษัทสังเกตเห็นตั้งแต่เดือนสิงหาคม และล่าสุดเมื่อปลายเดือนสิงหาคม ChromeLoader ถูกใช้เพื่อติดตั้ง ZipBombs ลงบนระบบที่ถูกโจมตี มัลแวร์นี้ถูกใช้เพื่อทำลายระบบของผู้ใช้ด้วยการโหลดข้อมูลที่มากจนเกินไป

ผู้เชี่ยวชาญยังสังเกตเห็นการใช้ ChromeLoader เพื่อดาวน์โหลด Enigma Ransomware ซึ่งส่งออกเป็นไฟล์แนบ HTML ที่พบในไฟล์ ISO โดยเมื่อเปิดไฟล์แนบ ก็จะมีการเปิดเบราว์เซอร์ และเรียกใช้จาวาสคริปต์ที่ฝังอยู่

เทคนิคการโจมตีอื่น ๆ ที่โดดเด่น คือ OpenSubtitles ในเวอร์ชันปลอม ซึ่งเป็นโปรแกรมที่ช่วยให้ผู้ใช้ค้นหาคำบรรยายสำหรับภาพยนตร์ และรายการทีวีที่เป็นที่นิยม และ Flbmusic.

นักวิจัยด้านความปลอดภัยทางไซเบอร์พบมัลแวร์ ChromeLoader รูปแบบใหม่ ที่ส่วนใหญ่มันถูกใช้เพื่อขโมยข้อมูลบนเบราว์เซอร์ของเหยื่อ

ChromeLoader ถูกพบครั้งแรกในเดือนมกราคม 2565 โดยแพร่กระจายผ่านทางรูปแบบของไฟล์ ISO หรือ DMG จากการดาวน์โหลดไฟล์ผ่าน QR code บน Twitter และเว็บไซต์แจกเกมฟรีต่างๆ

ChromeLoader มีชื่อเรียกอีกอย่างหนึ่งว่า Choziosi Loader และ ChromeBack สิ่งที่แตกต่างคือ ChromeLoader จะอยู่ในรูปแบบของ browser extension แทนที่จะเป็นรูปแบบไฟล์ Windows (.exe) หรือ Dynamic Link Library (.dll)

ChromeLoader จะหลอกให้ผู้ใช้งานดาวน์โหลดไฟล์ torrents ภาพยนตร์ หรือไฟล์ cracked ของเกม ผ่านทางแคมเปญโฆษณาบนเว็บไซต์ต่างๆ รวมไปถึงโซเชียลมีเดีย

นอกจากการเข้าถึงข้อมูลเบราว์เซอร์ของผู้ใช้งาน และการเข้าใช้งานเว็ปไซต์ต่างๆแล้ว มันยังออกแบบมาเพื่อดักจับคำค้นหาของของผู้ใช้งานบน Google, Yahoo และ Bing ซึ่งทำให้ผู้โจมตีสามารถเก็บข้อมูลการใช้งานอินเทอร์เน็ตของเหยื่อได้อย่างมีประสิทธิภาพ

ในขณะที่มัลแวร์ ChromeLoader รุ่นแรกบน Windows ถูกพบในเดือนมกราคม มัลแวร์เวอร์ชัน macOS ถูกพบในเดือนมีนาคมในรูปแบบ extension ปลอมบน Chrome (เวอร์ชัน 6.0) ผ่านทาง disk image (DMG) files

การวิเคราะห์ล่าสุดจาก Palo Alto Networks Unit 42 ระบุว่าการโจมตีจาก **ChromeLoader น่าจะเกิดขึ้นครั้งแรกในเดือนธันวาคม 2564 โดยใช้ไฟล์ AutoHotKey แทนที่จะเป็นไฟล์ ISO แบบในภายหลัง

"มัลแวร์จะใช้รูปแบบ AutoHotKey (AHK) ซึ่งเป็นเฟรมเวิร์กที่ใช้สำหรับการเขียนสคริปต์อัตโนมัติ ซึ่งจะถูกใช้เพื่อดร็อป browser extension ของเวอร์ชันแรกๆ" นาดาฟ บารัค นักวิจัยจาก Unit 42 กล่าว

มัลแวร์ในเวอร์ชันแรกยังไม่มีความสามารถในการหลีกเลี่ยงการตรวจจับ ซึ่งเป็นคุณลักษณะที่มัลแวร์นำมาใช้เพื่อปกปิดวัตถุประสงค์ของการทำงานของโค้ดที่เป็นอันตราย

"ในช่วงเวลาสั้นๆ ChromeLoader ได้มีการอัปเดตหลายครั้ง ใช้เฟรมเวิร์กการเขียนโปรแกรมหลายแบบ มีการหลบเลี่ยงการตรวจจับได้ดีขึ้น และแม้แต่การทำงานข้ามแพลตฟอร์มได้ทั้งบน Windows และ macOS” Barak กล่าว

ที่มา : thehackernews

ภัยคุกคามจากมัลแวร์ที่กำลังเพิ่มขึ้นอย่างรวดเร็วที่ถูกพบในปีนี้คือมัลแวร์ที่ถูกเรียกว่า ChromeLoader ซึ่ง Aedan Russell จาก Red Canary กล่าวว่า "มัลแวร์ ChromeLoader เรียกได้ว่าเป็น Browser hijacker ที่พบการแพร่กระจายอย่างต่อเนื่อง โดยมัลแวร์สามารถแก้ไขการตั้งค่าเบราว์เซอร์ของเหยื่อ และเปลี่ยนเส้นทางการเข้าชมเว็บไซต์ของผู้ใช้งานไปยังเว็บไซต์โฆษณาต่างๆ"

ChromeLoader เป็น extension ปลอมบนเบราว์เซอร์ Chrome และจะถูกเผยแพร่ในรูปแบบของไฟล์ ISO ผ่านเว็บไซต์แบบ pay-per-install และมีการโพสต์โฆษณาผ่านโซเชียลมีเดียเป็น QR codes ว่าสามารถ crack เกมส์ และภาพยนตร์ที่ละเมิดลิขสิทธิ์ได้

แม้ว่ามัลแวร์จะทำงานโดยการ Hijacking การ Search ข้อมูลของผู้ใช้ Google, Yahoo และ Bing และเปลี่ยนเส้นทางการรับส่งข้อมูลไปยังเว็บไซต์โฆษณาต่างๆ แต่มันก็มีความสามารถในการใช้ PowerShell เพื่อ inject เข้าสู่เบราว์เซอร์ หรือเพิ่ม extension ได้

มัลแวร์ที่รู้จักกันอีกชื่อหนึ่งว่า Choziosi Loader ถูกพบครั้งแรกโดย G DATA เมื่อต้นเดือนกุมภาพันธ์ที่ผ่านมา

ปัจจุบันจุดประสงค์เดียวของมัลแวร์คือการหารายได้ผ่านโฆษณา และ Hijacking Search engine โดย Karsten Hahn จาก G DATA กล่าวว่า "loader มักจะไม่ใช้ข้อมูลเพย์โหลดเดียวในระยะยาว โดยผู้สร้างมัลแวร์จะมีการปรับปรุงรูปแบบของมัลแวร์เมื่อผ่านไปช่วงเวลาหนึ่ง"

ความสามารถอีกอย่างหนึ่งของ ChromeLoader คือความสามารถในการเปลี่ยนเส้นทางของผู้ที่ตกเป็นเหยื่อ หากเหยื่อพยายามจะเข้าไปที่หน้า extension ของ Chrome ("chrome://extensions") และพยายามจะลบ extension ออก

นอกจากนี้ นักวิจัยยังตรวจพบมัลแวร์ในเวอร์ชันของ macOS ที่ทำงานได้กับทั้งเบราว์เซอร์ Chrome และ Safari ทำให้ ChromeLoader เป็นภัยคุกคามที่สามารถทำงานได้ในหลายแพลตฟอร์มได้อย่างมีประสิทธิภาพ

Russell กล่าวว่า "หากนำไปใช้กับภัยคุกคามที่ส่งผลกระทบสูง เช่น สปายแวร์ หรือเครื่องมือในการขโมย credentials อื่นๆ อาจทำให้การใช้งาน PowerShell ของตัวมัลแวร์ไม่ถูกตรวจจับได้ ก่อนที่จะดำเนินการอื่นๆต่อไป เช่น การขโมยข้อมูลจาก browser sessions ของผู้ใช้งาน เป็นต้น"

ที่มา : thehackernews.