Вредонос Chromeloader начал сбрасывать ZIP-бомбы и грузить шифровальщиков

Вредонос Chromeloader начал сбрасывать ZIP-бомбы и грузить шифровальщиков

Исследователи из VMware заметили, что заражения Chromeloader стали опаснее. Угонщик браузера, специализировавшийся на показе рекламы, расширил свой репертуар и теперь может вывести из строя систему жертвы или наградить ее шифровальщиком.

В VMware отслеживают ChromeLoader с начала этого года и в марте отметили появление macOS-версии зловреда. Согласно наблюдениям, за последние несколько месяцев авторы киберкампании, которой не видно конца, привнесли много изменений, и атаки, полагающиеся на PowerShell, в скором времени могут стать более сложными.

Вредонос обычно распространяется в виде файлов ISO и DMG, выдаваемых за кряки или пиратские копии популярного софта (чаще всего это игры). Основная цель Chromeloader — сбор учетных данных жертвы и слежка за использованием браузера; полгода он также параллельно запускал adware.

Поддельный образ диска при этом монтируется как виртуальный CD-ROM со следующим содержимым:

 

Распаковка app.zip происходит при двойном клике по ярлыку Install (соответствующую команду выполняет resources.bat, содержимое загружается в папку C:\Users\UserName\AppData\Roaming). В результате на машине оседает целевой исполняемый файл — имена могут быть различными:

  • Cash.exe
  • Flbmusic.exe
  • Opensubtitles-uploader.exe
  • Diet.exe
  • Healthy.exe
  • Strength.exe
  • Shape.exe
  • Energy.exe
  • Bloom.exe
  • Tone.exe

В бинарник встроен nw.exe — компонент фреймворка NW.js, позволяющего создавать десктопные приложения на основе веб-технологий. Для обеспечения постоянного присутствия сторонней программы в системе создается запланированное задание.

Некоторые из перечисленных экзешников пытались собирать логины и пароли из браузера, другие запускали новый outlook.exe для вывода данных. Принудительный показ рекламы осуществляется через запуск встроенного скрипта PowerShell, который прописывается в реестре на исполнение с заданным интервалом и обращается к разным сомнительным доменам для загрузки adware-расширения chrome_zoom.

В конце августа наблюдатели заметили, что ChromeLoader начали использовать в деструктивных атаках — для загрузки архивных бомб (классического 42.zip с привлекательным для геймеров именем — very_fun_game, FreeNitro, jaws2018crack и т. п.). При распаковке такие файлы сильно загружают CPU и забивают память компьютера.

Операторы Enigma тоже пытались включить ChromeLoader в свою схему доставки. Названный шифровальщик обычно распространяется через архивные HTML-вложения со встроенным JavaScript. В конце прошлого месяца злоумышленники загружали его как REG-archive.zip и KeyFILE-Generator_protected.exe. 

Из менее опасных полезных нагрузок, появившихся в репертуаре ChromeLoader, аналитики отметили поддельные программы OpenSubtitles (для поиска субтитров к фильмам) и FLB Music (для проигрывания аудиозаписей на разных платформах). Первую злоумышленники использовали в связке с adware для перенаправления веб-трафика, кражи паролей и продвижения вредоносов под видом легитимных апдейтов.

Второй фейк содержал electron.exe.pdb — портативную базу данных, используемую при настройке отладчика Electron. Возможности схожего с NW.js тулкита позволяли авторам атак загружать дополнительные модули для прослушки на определенных портах и организации связи со своим приложением по сети.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Оборотный штраф смягчит компенсация

Компании получат минимальный оборотный штраф, если выплатят компенсацию большинству пострадавшим от утечки. Такое предложение обсуждают в Минцифры. Против оборотных штрафов выступает Ассоциация больших данных.

О смягчившейся позиции Минцифры по оборотным штрафам за утечку пишет РБК. Речь о законопроекте, над которым министерство работает с весны этого года. Разработка началась на фоне крупных утечек в “Яндекс.Еда”, Delivery Club и медицинской лаборатории “Гемотест”. Сервисы доставки тогда оштрафовали на 60 тыс. рублей, а персональные данные из медцентра оценили в 0,2 копейки за клиента.

По словам главы ведомства Максута Шадаева, главная сложность заключается в том, чтобы прописать в законопроекте конструкцию, которая будет предусматривать минимальный и максимальный проценты оборотного штрафа.

“Мы пытаемся сказать, что смягчающим обстоятельством для назначения минимального порога будет урегулирование вопросов с пострадавшими, — объясняет Шадаев. — Это самое сложное, такой конструкции просто нет. Мы говорим: двум третям тех граждан, чьи данные утекли, пожалуйста, компенсируйте ущерб. Если вы подписали соглашение, что вы урегулировали с ними вопросы, то идете по нижней планке”.

В Минцифры не пояснили, каким образом будут рассчитывать число пострадавших, которым компенсировали ущерб.

“Компания в добровольном порядке сможет выплатить компенсации и сообщить об этом в Роскомнадзор. Если данные подтвердятся в суде, штраф [за утечку] будет снижен”, — говорит Шадаев.

По словам министра, это существенное послабление, так как в текущей версии законопроекта размер фиксированного штрафа для первого случая утечки может составлять до 10 млн руб.

Минцифры весной заявило о намерении ввести оборотные штрафы для компаний, допустивших утечку персональных данных.

В первой редакции законопроекта предлагалось штрафовать компанию на 1% от годовой выручки за сам факт утечки и на 3%, если она не сообщила о ней вовремя. В последней редакции документа такой порядок штрафа предусматривается только для компаний, допустивших утечку более 100 000 записей.

Против этих мер выступает Ассоциация больших данных (АБД), в которую входят интернет-компании, операторы связи и банки, критикует поправки в законопроект. Свои замечания ассоциация направила в Минцифры. Бизнес просит министерство пересмотреть размеры штрафов в сторону их уменьшения.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru