ChromeLoader Malware Poses as Steam, Nintendo Game Mods
2023/02/27 InfoSecurity — Nintendo や Steam のゲーム・クラックや MOD を装うファイルを介して、脅威アクターたちが、ChromeLoader マルウェアを配布していることが判明した。Asec のセキュリティ研究者たちによると、最近になって観測された悪意の活動は、VHD ディスク・イメージ・ファイルに依拠しているとのことだ。同社が木曜日に発表したアドバイザリには、「このプロセスを通じて VHD ファイルがダウンロードされた場合には、悪意の VHD ファイルをゲーム関連のプログラムだと、ユーザーが間違える可能性がある」と説明されている。
マルウェアの配布に使用されたファイル名のリストには、Elden Ring/Red Dead Redemption 2/Dark Souls 3 などの、いくつかの人気ゲームがあった。さらに、Microsoft Office や Adobe Photoshop などの、一般的なソフトウェア・プログラムを装うものも確認されている。
Asec は「Install.lnk ファイル以外は、隠しプロパティが有効になっているため、一般ユーザーは Install.lnk ファイルしか見ることができない」と説明している。
そのファイルを被害者がクリックすると、一連の手順がトリガーされ、最終的に ChromeLoader のダウンロードにつながるという。その後に、このアドウェアは Chrome エクステンションを使用して、悪意のアクションを実行する。
Asec の投稿には、「ChromeLoader により作成/実行される悪意のエクステンションは、広告サイトにリダイレクトしてハイジャックすることで、ユーザーのブラウジング・データを収集する。同エクステンションに備わる機能はは、ブラウザの認証情報の収集/ブラウザの設定変更といった多様なものがある」と記されている。
技術的な書き込みによると、ChromeLoader の攻撃は、ディスク・イメージ・ファイルを使用するマルウェアの増加を示している。
Asec は、「ゲーム・ハックやクラック・プログラムとしてマルウェアを偽装することは、多くの脅威アクターが採用している手法だ。昨年から、ISO/VHD などのディスク・イメージ・ファイルが、マルウェアの配布に利用されるケースが、確実に増加している」と述べている。
同社は、不明なソースからダウンロードしたファイルの実行に注意するようユーザーに警告しており、「ユーザーに対しては、公式 Web サイトからプログラムをダウンロードすることが推奨される」と結んでいる。
先日には、Logpoint の UKI & BeNeLux Regional Director である Tim Wallen による、ランサムウェアの手法分析で ChromeLoader が言及されていた。それから数週間後に。この調査ドキュメントは発表されている。
ChromeLoader ですが、昨年はブラウザ・ハイジャックの脅威とされていて、その後にアドウェアからランサムローダーへと転身しているようです。そして、今日の記事では、ゲーム用と勘違いさせる VHD ファイルをダウンロードさせ、マルウェアに感染させる戦術へと変化したとされています。よろしければ、以下の関連記事も、ご参照ください。
2022/09/19:アドウェアからランサムローダーへと進化する
2022/05/28:ChromeLoader ブラウザ・ハイジャックの恐怖
2022/05/25:ChromeLoader マルウェアが急増:Chrome/Safar
IoT OT Security News 
You must be logged in to post a comment.