Зловредна програма, известна най-вече с доставянето на зловредна реклама, спам и пренасочване на търсенията в браузъра, вече разпространява и криптовируси, алармират от Carbon Black, компания за защита, която е собственост на VMware.

Появила се в началото на тази годинa, ChromeLoader представлява сложна и модулна заплаха, която въпреки краткото си съществуване вече еволюира в няколко версии, допълвана от авторите ѝ с различни функционалности. За нея вече ви разказахме през май чрез доклад на Red Canary. А сега специално внимание ѝ обръщат и специалистите от Carbon Black в репортаж, публикуван в началото на тази седмица.

Разпространявана чрез социалните мрежи, в торент тракери, сайтове за пиратски софтуер и др. ChromeLoader носи името си от първите си варианти и процеса, който стартира в системата. Както и говори името на програмата, тя първоначално цели атаката към браузъра на Google, като след изпълнението ѝ се инсталира скрито разширение за Chrome, което отваря нежелани страници и представя пред жертвата спам и рекламни съобщения, което носи пари на разпространителите ѝ. Освен това, тя има способността да манипулира търсенията и краде данни от браузъра. Освен под формата на ISO файл, който се предполага, че съдържа инсталацията на кракната игра или популярен платен софтуер, ChromeLoader идва също така под формата на .zip архиви, изпълними файлове и др., а за последно – в края на миналия месец е регистрирана атака, при която се използва .html файл, скрит в архив.

Когато жертвата кликне върху файла, той стартира браузъра по подразбиране в системата, изпълнява JavaScript скрипт и пред него се представя файл, който да стартира. Ако го направи, жертвата остава със заключени файлове в компютъра си, понеже е стартирал изпълнението на Enigma Ransomware – рансъмуер заплаха, атакуваща рускоговорящи страни. В друга любопитна ситуация, ChromeLoader носи със себе си „zip-бомба“. Carbon Black са регистрирали в случай, в който се доставя файл с име 42.zip. С големина от едва 42 килобайта в компресиран вид, той се превръща в 40-петабайтова „информационна бомба“, при разархивиране и разрушаване на системата чрез претоварване. Други имена, които специалистите са засичали, носеща „бомбата“ са vir.exe, very_fun_game.zip, passwords.zip, AzizGame (1).zip, nudes.zip, unreleased_songs.zip, FreeNitro.zip, jaws2018crack.zip. Един от последните варианти на ChromeLoader изпълнява също така PowerShell скриптове, което според Carbon Black е доказателство за еволюцията на тази зловредна програма.

„Екипът на Carbon Black MDR вярва, че това представлява нова заплаха, която е нужно да бъде проследявана и взета на сериозно, поради потенциала си да носи със себе си далеч по-опасни заплахи. Вече сме били свидетели на пренебрегването на адуер (зловредни програми, водещи до нежелана реклама и спам -б.а.) програмите, като някаква досада просто. Но именно поради това, създателите на зловреден софтуер са способни да се възползват от това пренебрежение и използването му за по-опасни атаки, като например с рансъмуера Enigma“, пишат авторите на доклада.


Коментирайте статията в нашите Форуми. За да научите първи най-важното, харесайте страницата ни във Facebook, и ни последвайте в Telegram и Viber или изтеглете приложението на Kaldata.com за Android, iOS и Huawei!

Абонирай се
Извести ме за
guest

0 Коментара
Отзиви
Всички коментари