Οι ερευνητές ασφαλείας έχουν παρατηρήσει ότι οι χειριστές της καμπάνιας πειρατείας και διαφημιστικού λογισμικού του προγράμματος περιήγησης ChromeLoader χρησιμοποιούν τώρα αρχεία VHD που ονομάζονται από δημοφιλή παιχνίδια. Προηγουμένως, τέτοιες καμπάνιες βασίζονταν στη διανομή βάσει ISO.
Τα κακόβουλα αρχεία ανακαλύφθηκαν από μέλος του Ahnlab Security Emergency Response Center μέσω των αποτελεσμάτων αναζήτησης Google σε ερωτήματα για δημοφιλή παιχνίδια
Μεταξύ των τίτλων παιχνιδιών που χρησιμοποιούνται για σκοπούς διανομής adware είναι τα Elden Ring, ROBLOX, Dark Souls 3, Red Dead Redemption 2, Need for Speed, Call of Duty, Portal 2, Minecraft, Legend of Zelda, Pokemon, Mario Kart, Animal Crossing και περισσότερο.
Ένα δίκτυο ιστότοπων κακόβουλης διαφήμισης διανέμει τα κακόβουλα αρχεία, τα οποία εμφανίζονται ως νόμιμα πακέτα που σχετίζονται με το παιχνίδι, που εγκαθιστούν την επέκταση ChromeLoader.
Το ChromeLoader παραβιάζει τις αναζητήσεις του προγράμματος περιήγησης για να εμφανίζει διαφημίσεις. Επίσης, τροποποιεί τις ρυθμίσεις του προγράμματος περιήγησης και συλλέγει διαπιστευτήρια και δεδομένα προγράμματος περιήγησης.
Το κακόβουλο λογισμικό έγινε πιο διαδεδομένο τον Μάιο του 2022. Τον Σεπτέμβριο του 2022, το VMware ανέφερε νέες παραλλαγές που πραγματοποιούν πιο εξελιγμένες δραστηριότητες δικτύου. Σε ορισμένες περιπτώσεις, οι hacker παρέδωσαν ακόμη και το Enigma ransomware.
Σε όλες τις περιπτώσεις που παρατηρήθηκαν κατά τη διάρκεια του 2022, το ChromeLoader έφτασε στο σύστημα προορισμού ως αρχείο ISO. Τον τελευταίο καιρό, οι χειριστές φαίνεται να προτιμούν τη συσκευασία VHD.