Windows 惡意軟件通過(guò) PowerShell 向 Chrome 注入惡意擴(kuò)展
據(jù)外媒 The register 報(bào)道,最近網(wǎng)絡(luò)上出現(xiàn)了一種名為 ChromeLoader 的 Windows 惡意軟件,它會(huì)利用 PowerShell 向受害者的 Chrome 瀏覽器添加惡意擴(kuò)展。該惡意 Chrome 擴(kuò)展會(huì)通過(guò)在線廣告強(qiáng)制重定向用戶,從而為不法分子帶來(lái)收入。
該惡意軟件還存在 macOS 變體,它使用 Bash 來(lái)實(shí)現(xiàn)相同的目標(biāo),且以 Safari 為目標(biāo)。安全公司 Red Canary 的工程師 Aedan Russell 在一篇博客中詳細(xì)介紹了該惡意軟件。
ChromeLoader 通過(guò)以 ISO 文件的形式分發(fā),該文件看起來(lái)像種子文件或破解的視頻游戲。據(jù) Red Canary 稱,它通過(guò)網(wǎng)站和 Twitter 等社交媒體,以鏈接或二維碼方式網(wǎng)絡(luò)傳播。

一旦被掃碼下載并執(zhí)行,.ISO 文件就會(huì)被提取,并作為驅(qū)動(dòng)安裝在受害者的機(jī)器上,從而獲得了對(duì)系統(tǒng)的初始訪問(wèn)權(quán)限。
這個(gè) ISO 中有一個(gè)用于安裝 ChromeLoader 的可執(zhí)行文件,以及似乎是 Windows 任務(wù)計(jì)劃程序的 .NET 包裝器。這讓 ChromeLoader 在入侵之后能保持偽裝,保持其在受害者機(jī)器上的持久性。
ChromeLoader 使用計(jì)劃任務(wù),但不通過(guò) Windows 本機(jī)任務(wù)計(jì)劃程序 (schtasks.exe) 來(lái)執(zhí)行此操作。相反,它通過(guò)跨進(jìn)程注入服務(wù)主機(jī) (svchost.exe) 并創(chuàng)建其計(jì)劃任務(wù)調(diào)度程序。
跨進(jìn)程注入完成后,ChromeLoader 的定時(shí)任務(wù)會(huì)通過(guò) svchost 執(zhí)行,它調(diào)用命令解釋器(cmd.exe),該命令解釋器執(zhí)行包含多個(gè)聲明變量的 Base64 編碼的 PowerShell 命令。
隨后,ChromeLoader 開始使用 PowerShell 命令檢查是否安裝了 ChromeLoader 惡意擴(kuò)展,如果沒(méi)有找到路徑,它就會(huì)使用 wget 遠(yuǎn)程拉取文件并將內(nèi)容加載為 Chrome 擴(kuò)展程序。當(dāng) ChromeLoader 惡意擴(kuò)展程序被安裝到 Chrome 中,就可以執(zhí)行其真正的目標(biāo):強(qiáng)制修改受害者的搜索結(jié)果,將其重定向到惡意廣告站點(diǎn)。
ChromeLoader 還會(huì)在用戶嘗試刪除該擴(kuò)展程序時(shí)進(jìn)行重定向,強(qiáng)制用戶離開 Chrome 擴(kuò)展程序頁(yè)面。
此外,由于其作為命令和腳本解釋器的能力,PowerShell 始終是惡意軟件的首選命令執(zhí)行方法。
Aedan Russell 稱:“這是一種將惡意擴(kuò)展加載到 Chrome 中的新方法,除了 ChromeLoader 之外,沒(méi)有其他已知的威脅行為在嘗試使用這種加載惡意瀏覽器擴(kuò)展的 PowerShell 技術(shù) “
” 但是,這種技術(shù)是有據(jù)可查的,它經(jīng)常被開發(fā)人員使用。”
本文轉(zhuǎn)自O(shè)SCHINA
本文標(biāo)題:Windows 惡意軟件通過(guò) PowerShell 向 Chrome 注入惡意擴(kuò)展
本文地址:https://www.oschina.net/news/197828/chromeloader-malware-powershell















 
 
 












 
 
 
 