ゼファーネットのロゴ

生成的データ インテリジェンス

サイバーセキュリティ

「シャンプー」ChromeLoader の亜種は洗い流すのが難しい

プラトン再発行
プラトン再発行

日付:

閲覧数: 113

海賊版のビデオ ゲーム、映画、その他の製品を宣伝する偽の Web サイトが、「Shampoo」と呼ばれる ChromeLoader マルウェアの新しい亜種を広めています。これは決してクリーンなものではありません。機密データを盗み、検索をリダイレクトし、被害者のブラウザ セッションに広告を挿入します。

研究者 HP Wolf Security より は新しいキャンペーンを追跡しています。このキャンペーンは XNUMX 月から活動していたようで、次のようなマルウェアを配布します。 オリジナルのChromeLoader — 2022 年 XNUMX 月に初めて発見 — しかし、複数の永続化メカニズムのおかげで、ことわざにある IT の毛からそれを洗い流すのは著しく困難である、と彼らは言いました。

ChromeLoader の最初のバージョンの目的は、広告を目的とした悪意のある Chrome 拡張機能をインストールすることであり、そのプロセスには、被害者がブラウザをハイジャックする違法なコンテンツをホストしている Web サイトから悪意のある ISO ファイルをダウンロードすることから始まる「特に複雑な感染チェーン」が含まれている、とジャック・ロイヤー氏は書いています。 HP マルウェア アナリストのインターン、 役職 今週公開された HP 脅威研究ブログで。

「シャンプー キャンペーンで使用されている ChromeLoader は非常によく似ています。 被害者を騙して Web サイトから悪意のある VBScript ファイルをダウンロードして実行させ、最終的には悪意のある Chrome ブラウザ拡張機能のインストールにつながります」と彼は説明しました。 「このキャンペーンは、感染チェーン、配布、目的の点で ChromeLoader と非常に似ており、コードの類似点と広告収益化機能が XNUMX つあります。」

オリジナルの ChromeLoader とは異なる Shampoo の注目すべき機能の 50 つは、ブラウザのタスク スケジューラを使用して永続性を実現する方法であり、XNUMX 分ごとに再起動するようにスケジュールされたタスクを設定することで、彼らは述べています。

このスクリプトは、スケジュールされたタスクを設定する PowerShell スクリプトを実行し、別の PowerShell スクリプトをダウンロードして実行するループ スクリプトを 50 分ごとに実行する、と研究者らは述べています。 このスクリプトは、悪意のある ChromeLoader Shampoo 拡張機能をダウンロードしてインストールします。この拡張機能は、Chrome セッションに接続されると、コマンド アンド コントロール (C2) サーバーへの機密情報の送信を開始します。

「この永続化メカニズムにより、再起動やセキュリティ ツールやユーザーによってスクリプトが強制終了されても、マルウェアはアクティブな状態を維持できます」と Royer 氏は書いています。

Shampoo ChromeLoader 感染チェーンの内部

研究者らによると、シャンプーに遭遇したユーザーは、海賊版ファイルを提供するウェブサイトから映画、ビデオゲーム、その他のファイルなどの違法コンテンツをインターネットからダウンロードすることによって感染したという。 被害者はだまされて、海賊版と思われる悪意のある VBScript (Cocaine Bear.vbs や Your download is ready.vbs など) を実行させられ、感染連鎖が引き起こされると研究者らは指摘しています。

「この拡張機能は高度に難読化されており、多くのデバッグ防止および分析防止のトラップが含まれています。」その作成者は無料のオンライン ツールを使用していたようです。 JavaScript難読化ツール マルウェアの検出を困難にするためだとロイヤー氏は書いている。

ChromeLoader Shampoo が被害者のマシン上で実行するその他の悪意のあるアクティビティには、アドレス バーの検索候補を無効にすることが含まれます。 Google、Yahoo、Bing の検索を C2 にリダイレクトします。 被害者の最後の検索クエリを Chrome のローカル ストレージに記録します。 さらに、最後の検索クエリを Chrome のローカル ストレージに記録し、被害者を chrome://settings にリダイレクトすることで chrome://extensions にアクセスできないようにすることで、拡張機能の削除を阻止できる可能性が高いと研究者らは述べています。

スケジュールされたループタスクを設定する永続化メカニズムは、「chromeエンジン」、「chromeポリシー」、「chrome about」など、「chrome_」という接頭辞が付いたタスクのリストも登録解除する、と研究者らは指摘した。 「これは、同じマルウェアの以前のバージョンまたは競合するバージョンを削除するために行われた可能性があります」とロイヤー氏は書いています。

違法ダウンロードにご注意ください

ChromeLoader の最初のバージョンは、主にブラウザ セッションをハイジャックして被害者のデータを盗むことを目的としていたという点で Shampoo に似ていましたが、それ以降は より危険な脅威に進化した、攻撃者は現在、ランサムウェアを投下し、データを盗み、企業のシステムをクラッシュさせるためにこれを使用しています。

シャンプーの亜種も将来的にこのように活用されるかどうかは不明です。 しかし、研究者らは人々に危険を冒すべきではないとアドバイスし、感染を回避する方法のヒントと侵害の兆候のリストを投稿内で提供した。

Shampoo 亜種による侵害を回避する明白な方法の XNUMX つは、インターネットから海賊版コンテンツをダウンロードしないこと、また一般に信頼できない Web サイトからファイルをダウンロードしないことであると彼らは述べています。 これは、企業環境で Chrome を使用している従業員に特に当てはまります。従業員は、組織全体に拡散しないように、企業ネットワーク経由で (または仕事用/個人用の共有デバイスに) インターネットから何かをダウンロードすることに特に注意する必要があります。

組織は、追加の保護として未知の外部ソースからのファイルをブロックするように電子メール ゲートウェイとセキュリティ ツールのポリシーも設定する必要があると、HP Wolf Security 脅威調査チームのマルウェア アナリストである Patrick Schläpfer 氏はアドバイスしています。 プレスステートメントで.

スポット画像

最新のインテリジェンス

スポット画像

著作権 @ 2024 Plato Technologies Inc.