ACTUALIZACION DEL MALWARE CHROMELOADER

27/02/2023

BOLETÍN NRO 2023-131

Recientemente se ha detectado una nueva campaña de malware ChromeLoader que se distribuye a través de archivos de disco duro virtual (VHD), lo que marca una desviación del formato de imagen de disco óptico ISO.

Servicios Afectados

• Sistemas operativos Windows

Detalles Tecnicos

CVE: ---		Severidad:   ALTA
Amenaza: ChromeLoader		Categoría: Malware

Estos archivos VHD se distribuyen con nombres de archivo que los hacen aparecer como hacks o cracks para los juegos de Nintendo y Steam, según investigadores de seguridad.

El malware ChromeLoader (conocido como Choziosi Loader o ChromeBack) apareció originalmente en enero de 2022 como un ladrón de credenciales de navegador.

Desde entonces se ha convertido en una amenaza multifacética más potente, capaz de robar datos confidenciales, implementar ransomware e incluso lanzar bombas de descompresión.

La finalidad del malware es comprometer los navegadores web como Google Chrome y modificar la configuración del navegador para poder interceptar y dirigir el tráfico a sitios web de publicidad dudosa. Además, ChromeLoader se ha convertido en un conducto para llevar a cabo el fraude de clics al aprovechar una extensión del navegador para monetizar los clics.

La cadena de infección indica que los usuarios que buscan software pirateado y trucos de videojuegos son los principales objetivos, lo que lleva a la descarga de archivos VHD de sitios web fraudulentos que aparecen en las páginas de resultados de búsqueda.

Cuando se descarga un archivo VHD a través de este proceso, el usuario puede confundir fácilmente el archivo VHD malicioso con un programa relacionado con el juego, según investigadores de seguridad.

Disfrazar el malware como hacks de juegos y programas crack es un método empleado por muchos ciberdelincuentes.

Indicadores de Compromiso

Dominio

Irymountain[.]com[.]ua

lesexwrecko[.]xyz

alnormatic[.]xyz

Hash

MD5: bdcb5c80a664d82a28469f9fce0fbb12

SHA-256: 5bdead742a01ecec91ff1458b54e44fada969d652eaa9fe345c0cdcc2a011d89

MD5: 82024e7af52481e71760c9d119eb903f

SHA-256: 3828af2bf24f6daa6ebfc573ee3c6326d9bc4973134297dc6f463301ff3b330b

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.

** Antes de realizar el bloqueo de IoCs o aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

Fuente

• Fuente 1: ChromeLoader Malware Targeting Gamers via Fake Nintendo and Steam Game Hacks
• Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com

​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​