VMware y Microsoft advierten de la extensión de los ataques de malware Chromeloader

Publicado por: Manuel Abreu Ortiz - social@manuelabreuo.com

VMware y Microsoft están advirtiendo de una campaña de malware Chromeloader en curso y generalizada que ha evolucionado hasta convertirse en una amenaza más peligrosa, que se ve dejando caer extensiones de navegador maliciosas, malware node-WebKit e incluso ransomware en algunos casos.

Las infecciones de Chromeloader aumentaron en el primer trimestre de 2022, y los investigadores de Red Canary advirtieron sobre los peligros del secuestrador del navegador utilizado para la afiliación de marketing y el fraude publicitario.

En aquel entonces, el malware infectaba Chrome con una extensión maliciosa que redirigía el tráfico de los usuarios a sitios publicitarios para realizar fraudes de clics y generar ingresos para los actores de la amenaza.

Unos meses más tarde, la Unidad 42 de Palo Alto Network se dio cuenta de que Chromeloader estaba evolucionando hasta convertirse en un ladrón de información, que intentaba arrebatar los datos almacenados en los navegadores mientras mantenía sus funciones de adware.

El malware ChromeLoader se entrega en archivos ISO que se distribuyen a través de anuncios maliciosos, redireccionamientos del navegador y comentarios de vídeos de YouTube.

Los archivos ISO se han convertido en un método popular de distribución de malware desde que Microsoft comenzó a bloquear las macros de Office por defecto. Además, al hacer doble clic en una ISO en Windows 10 y posteriores, se montan automáticamente como un CDROM bajo una nueva letra de unidad, lo que los convierte en una forma eficiente de distribuir varios archivos de malware a la vez.

Las imágenes ISO de ChromeLoader suelen contener cuatro archivos, un archivo ZIP que contiene el malware, un archivo ICON, un archivo por lotes (comúnmente llamado Resources.bat) que instala el malware y un acceso directo de Windows que lanza el archivo por lotes.

Como parte de su investigación, VMware muestreó al menos diez variantes de Chromeloader desde principios de año, siendo las más interesantes las que aparecieron después de agosto.

Aunque Chromeloader comenzó como adware, es un ejemplo perfecto de cómo los actores de amenazas están experimentando con cargas útiles más potentes, explorando alternativas más rentables al fraude publicitario.

Info – Ciberseguridad Latam

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *