Si è visto un nuovo attacco malware, di una minaccia chiamata ChromeLoader distribuito tramite file virtual hard disk (VHD), che rappresenta una deviazione dal formato di immagine disco ottico ISO.
“Questi file VHD vengono distribuiti con nomi che li fanno apparire come hack o crack per giochi Nintendo e Steam”, ha dichiarato il Centro di risposta alle emergenze della sicurezza AhnLab (ASEC) in un rapporto la scorsa settimana.
ChromeLoader (noto anche come Choziosi Loader o ChromeBack) è spuntato dal nulla originariamente nel gennaio del 2022 come un malware che “dirottava” il browser (l’URL per capirci) e rubava credenziali, ma si è evoluto in una minaccia più potente e multiforme, in grado di rubare dati sensibili, mettere in giro pericolosi ransomware e addirittura rilasciare “bombe” di decompressione (in gergo ZIP Bomb).
Quali sono gli obiettivi del malware ChromeLoader e come funziona?
L’obiettivo principale di questo malware è quello di compromettere i browser web come Google Chrome (ChromeLoader, lo dice il nome stesso!) e modificare le impostazioni del browser per intercettare e dirigere il traffico verso siti web pubblicitari di dubbia fattura; tra l’altro, il malware ChromeLoader è emerso come un mezzo per compiere frodi sui clic, sfruttando un’estensione del browser per monetizzare i clic.
Probabilmente vengono sfruttati anche banner pubblicitari ingannevoli (una delle tecniche più antiche di internet): motivo per il quale l’AdBlocker diventa necessario per la propria sicurezza online, ma questo meriterebbe d’essere trattato in altra sede.
Dal momento che è stato scoperto, il malware ha subito molteplici versioni, molte delle quali dotate di capacità per violare sia i sistemi Windows che macOS. Il passaggio ai file VHD è un ulteriore segnale che la campagna ha subito molte modifiche negli ultimi mesi.
L’analisi della serie di infezione indica che i principali bersagli sono gli utenti alla ricerca di software pirata e cheat per (e di) videogiochi, che portano al download di file VHD da siti fraudolenti che compaiono nelle pagine dei risultati di ricerca.
Alcuni dei titoli di giochi e software popolari utilizzati sono Elden Ring, Dark Souls III, Red Dead Redemption 2, Need for Speed, Call of Duty, The Legend of Zelda: Breath of the Wild, Mario Kart 8 Deluxe, Super Mario Odyssey, e non sono esclusi programmi popolari come ad esempio Microsoft Office e Adobe Photoshop.
“Il download di un file VHD tramite questo processo può far sembrare all’utente che il file VHD sia un programma correlato al gioco“, hanno dichiarato i ricercatori di ASEC. “Camuffare il malware come hack per giochi e programmi crack è un metodo impiegato da molti attori delle minacce“.
Per non incorrere incontro a tali rischi, si consiglia agli utenti di non seguire collegamenti sospetti e di scaricare software solo da fonti ufficiali.
Il malware ChromeLoader sia stato adattato per aggirare i meccanismi di sicurezza e attaccare gli utenti attraverso file VHD mascherati come hack e crack per giochi; ciò dimostra la continua evoluzione delle minacce informatiche e l’importanza di mantenere le proprie attrezzature protette e di seguire pratiche sicure di navigazione sul web.
Per proteggersi da attacchi di questo tipo, gli utenti dovrebbero evitare di cercare software pirata e di scaricare solo da fonti ufficiali; oltretutto, è importante tenere il proprio software antivirus e antimalware aggiornato e mantenere buone abitudini a livello informatico, così facendo, si riduce il rischio di infezioni da malware e di furto di dati personali e finanziari.
Se antivirus e antimalware non facessero alcun effetto, di seguito un video tutorial che spiega come rimuovere ChromeLoader:
