New ‘Shampoo’ Chromeloader malware pushed via fake warez sites
แคมเปญมัลแวร์ ChromeLoader ใหม่กำลังดำเนินการ ทำให้ผู้เข้าชม warez และเว็บไซต์ภาพยนตร์ที่ละเมิดลิขสิทธิ์ติดไวรัสด้วยโปรแกรมค้นหารูปแบบใหม่และ Adware Browser Extension ที่ชื่อ Shampoo การค้นพบแคมเปญใหม่นี้มาจากทีมวิจัยภัยคุกคามของ HP (Wolf Security) ซึ่งรายงานว่าแคมเปญนี้ได้เริ่มดำเนินการมาตั้งแต่เดือนมีนาคม 2566 มัลแวร์ ChromeLoader จำทำหน้าที่การ hijacker เบราว์เซอร์เพื่อบังคับติดตั้ง Browser Extension ที่เปลี่ยนเส้นทางการค้นหาเพื่อโปรโมตซอฟต์แวร์ที่ไม่พึงประสงค์ เช่น ซอฟแวร์ปลอม แบบสำรวจ เกมสำหรับผู้ใหญ่ ไซต์หาคู่ และผลลัพธ์ที่ไม่เกี่ยวข้องอื่นๆ
เมื่อประมาณหนึ่งปีที่ผ่านมานักวิเคราะห์ของ Red Canary รายงานว่าการแพร่กระจายของ ChromeLoader เพิ่มขึ้นอย่างกะทันหันซึ่งเริ่มขึ้นในเดือนกุมภาพันธ์ 2022 ซึ่งขณะนี้ได้กำหนดเป้าหมายในการโจมตีไปที่ macOS และ Windows แล้ว ในเดือนกันยายน 2022 VMware และ Microsoft เตือนเกี่ยวกับแคมเปญ ChromeLoader ขนาดใหญ่อีกรายการหนึ่งที่มีความสามารถในการทดลองเพื่อแพร่กระจายมัลแวร์รวมถึงแรนซัมแวร์ และเมื่อเร็วๆนี้ในเดือนกุมภาพันธ์ 2023 นักวิจัยด้านความปลอดภัยของ ASEC ค้นพบแคมเปญที่มีการแพร่กระจายมัลแวร์ ChromeLoader ในไฟล์ VHD ที่ตั้งชื่อตามวิดีโอเกมยอดนิยม แต่ในแคมเปญใหม่ล่าสุดนั้นนักวิเคราะห์ของ HP รายงานว่าในแคมเปญที่เริ่มในเดือนมีนาคม 2023 ChromeLoader เผยแพร่ผ่านเครือข่ายเว็บไซต์ที่เป็นอันตรายซึ่งสัญญาว่าจะดาวน์โหลดเพลง ภาพยนตร์ หรือวิดีโอเกมที่มีลิขสิทธิ์ได้ฟรี แทนที่จะใช้ไฟล์ media หรือโปรแกรมติดตั้งซอฟต์แวร์ที่ถูกต้อง เหยื่อจะดาวน์โหลด VBScripts ที่เรียกใช้สคริปต์ PowerShell โดยตั้งค่างานตามกำหนดเวลาที่ขึ้นต้นด้วย chrome_ เพื่อหลบเลี่ยงการตรวจจับ หลังจากนั้นจะเรียกชุดของสคริปต์ที่ดาวน์โหลดบันทึกสคริปต์ PowerShell ใหม่ลงในรีจิสทรีของโฮสต์เป็น HKCU:SoftwareMirage Utilities และ Extension ของ Chrome ที่เป็นอันตรายที่ชื่อ Shampoo โดย Shampoo เป็นอีกเวอร์ชันหนึ่งของ ChromeLoader ซึ่งสามารถแทรกโฆษณาบนเว็บไซต์ที่เหยื่อเข้าชมและดำเนินการเปลี่ยนเส้นทางข้อความค้นหา ในตัวอย่างที่วิเคราะห์โดย BleepingComputer การค้นหาจากแถบที่อยู่ของเบราว์เซอร์หรือ Google จะถูกเปลี่ยนเส้นทางไปยังเว็บไซต์ที่ ythingamgladt[.]com ก่อน จากนั้นจึงไปยังผลการค้นหาของ Bing เมื่อติดตั้ง Extension ที่เป็นอันตรายแล้ว จะป้องกันไม่ให้เหยื่อเข้าถึงหน้าจอ Extension ของ Chrome ผู้ใช้จะถูกเปลี่ยนเส้นทางไปที่หน้าจอการตั้งค่า Chrome แทนเมื่อพยายามทำเช่นนั้น การดำเนินการของแอดแวร์นั้นคิดว่ามีแรงจูงใจทางการเงิน โดยมีเป้าหมายเพื่อสร้างรายได้จากการเปลี่ยนเส้นทางการค้นหาและโฆษณา แน่นอนว่าไม่ใช่เรื่องยากสำหรับเหยื่อที่จะสังเกตเห็นการเปลี่ยนเส้นทางเหล่านี้ เนื่องจากพวกเขาไม่ได้รับสิ่งที่พวกเขาค้นหาใน Google แต่การลบมัลแวร์นั้นซับซ้อน การลบ ChromeLoader Shampoo นั้นไม่ง่ายเหมือนการถอนการติดตั้ง Extension ทั่วๆไป ในทีนี้มัลแวร์จะอาศัย looping scripts และงานที่กำหนดเวลาไว้ของ Windows เพื่อติดตั้งส่วนขยายใหม่ทุกครั้งที่เหยื่อลบออกหรือรีบูตอุปกรณ์ ดังนั้นหากเหยื่อรีบูตระบบ มัลแวร์จะถูกปิดใช้งานชั่วคราว แต่จะถูกติดตั้งใหม่อย่างรวดเร็ว
เพื่อกำจัด ChromeLoader Shampoo ทีมวิจัย Wolf Security ของ HP กล่าวว่าผู้ใช้สามารถทำตามขั้นตอนต่อไปนี้
- ลบ scheduled tasks ที่ขึ้นต้นด้วย chrome_ โดยปกต scheduled tasks ของ Chrome ที่ถูกต้องจะขึ้นต้นด้วย Google
- ลบรีจิสตรีคีย์ HKCUSoftwareMirage Utilities
- จากนั้นรีบูตเครื่องคอมพิวเตอร์
นอกจากนี้ BleepingComputer ยังพบสคริปต์ PowerShell ที่แยก Extension ที่เป็นอันตรายไปยังโฟลเดอร์ C:Users
https://www.bleepingcomputer.com/news/security/new-shampoo-chromeloader-malware-pushed-via-fake-warez-sites/