据外媒寄存器报道,最近网络上出现了一种名为ChromeLoader的Windows恶意软件,它会利用PowerShell向受害者的Chrome浏览器添加恶意扩展。该恶意Chrome扩展会通过在线广告强制重定向用户,从而为不法分子带来收入。
该恶意软件还存在macOS变体,它使用Bash来实现相同的目标,且以狩猎为目标。安全公司红金丝雀的工程师Aedan罗素在一篇博客中详细介绍了该恶意软件。
ChromeLoader通过以ISO文件的形式分发,该文件看起来像种子文件或破解的视频游戏。据红金丝雀称,它通过网站和Twitter等社交媒体,以链接或二维码方式网络传播。
一旦被扫码下载并执行,。ISO文件就会被提取,并作为驱动安装在受害者的机器上,从而获得了对系统的初始访问权限。
这个ISO中有一个用于安装ChromeLoader的可执行文件,以及似乎是Windows任务计划程序的。net包装器。这让ChromeLoader在入侵之后能保持伪装,保持其在受害者机器上的持久性。
ChromeLoader使用计划任务,但不通过Windows本机任务计划程序(schtasks.exe)来执行此操作。相反,它通过跨进程注入服务主机(svchost.exe)并创建其计划任务调度程序。
跨进程注入完成后,ChromeLoader的定时任务会通过svchost执行,它调用命令解释器(cmd。exe),该命令解释器执行包含多个声明变量的Base64编码的PowerShell命令。
<跨风格=" background - color: # ffffff;颜色:# 000000 ">随后, ChromeLoader开始使用 PowerShell命令检查是否安装了ChromeLoader恶意扩展,如果没有找到路径,它就会使用wget远程拉取文件并将内容加载为Chrome扩展程序。当ChromeLoader恶意扩展程序被安装<跨风格=" background - color: # ffffff;颜色:# 000000 ">到Chrome中,就可以执行其真正的目标:强制修改受害者的搜索结果,将其重定向到<跨风格=" background - color: # ffffff;颜色:# 000000 ">恶意广告站点。
ChromeLoader还会<跨风格=" background - color: # ffffff;颜色:# 000000 ">在用户尝试删除该扩展程序时进行重定向,强制用户离开铬扩展程序页面。
<跨风格=" background - color: # ffffff;颜色:# 000000 ">此外,由于其作为命令和脚本解释器的能力,PowerShell始终是恶意软件的首选命令执行方法。
Aedan罗素称:“这是一种将恶意扩展加载到中铬的新方法,除了 ChromeLoader之外,没有其他已知的威胁行为在尝试使用这种加载恶意浏览器扩展的 PowerShell技术 " ”但是,这种技术是有据可查的,它经常<强>被开发人员使用强劲。”
0 留言