È stato osservato che una nuova campagna di malware ChromeLoader viene distribuita tramite file VHD (virtual hard disk), segnando una deviazione dal formato immagine del disco ottico ISO.
“Questi file VHD vengono distribuiti con nomi di file che li fanno apparire come hack o crack per i giochi Nintendo e Steam”, ha dichiarato la scorsa settimana l’AhnLab Security Emergency response Center (ASEC) in un rapporto.
ChromeLoader (alias Choziosi Loader o ChromeBack) è apparso originariamente nel gennaio 2022 come un browser hijacking che rubava credenziali, ma da allora si è evoluto in una minaccia più potente e sfaccettata in grado di rubare dati sensibili, distribuire ransomware e persino lanciare bombe di decompressione.
L’obiettivo principale del malware è compromettere i browser web come Google Chrome e modificare le impostazioni del browser per intercettare e indirizzare il traffico verso siti web di dubbia pubblicità. Inoltre, ChromeLoader è emerso come un canale per effettuare frodi sui clic sfruttando un’estensione del browser per monetizzare i clic.
Il malware ChromeLoader
Da quando è arrivato sulla scena, il malware è passato attraverso diverse versioni, molte delle quali dotate di capacità di penetrare nei sistemi Windows e macOS. Il passaggio ai file VHD è un altro segno che la campagna ha subito molti cambiamenti negli ultimi mesi. La catena di infezione indica che gli utenti alla ricerca di software pirata e trucchi per videogiochi sono i bersagli principali, portando al download di file VHD da siti web fraudolenti che appaiono nelle pagine dei risultati di ricerca.
Alcuni dei titoli di gioco e dei software più diffusi utilizzati sono Elden Ring, Dark Souls III, Red Dead Redemption 2, Need for Speed, Call of Duty, The Legend of Zelda: Breath of the Wild, Mario Kart 8 Deluxe, Super Mario Odyssey, Microsoft Office e Adobe Photoshop. “Quando un file VHD viene scaricato attraverso questo processo, l’utente può facilmente scambiare il file VHD dannoso per un programma legato al gioco”, hanno dichiarato i ricercatori ASEC. “Travestire il malware da hack di gioco e programmi di cracking è un metodo utilizzato da molti attori delle minacce”.
Per ridurre questi rischi, si raccomanda agli utenti di non seguire link sospetti e di scaricare software solo da fonti ufficiali.
