據(jù)外媒 The register 報(bào)道，最近網(wǎng)絡(luò)上出現(xiàn)了一種名為 ChromeLoader 的 Windows 惡意軟件，它會(huì)利用 PowerShell 向受害者的 Chrome 瀏覽器添加惡意擴(kuò)展。該惡意 Chrome 擴(kuò)展會(huì)通過(guò)在線廣告強(qiáng)制重定向用戶，從而為不法分子帶來(lái)收入。

該惡意軟件還存在 macOS 變體，它使用 Bash 來(lái)實(shí)現(xiàn)相同的目標(biāo)，且以 Safari 為目標(biāo)。安全公司 Red Canary 的工程師 Aedan Russell 在一篇博客中詳細(xì)介紹了該惡意軟件。

ChromeLoader 通過(guò)以 ISO 文件的形式分發(fā)，該文件看起來(lái)像種子文件或破解的視頻游戲。據(jù) Red Canary 稱，它通過(guò)網(wǎng)站和 Twitter 等社交媒體，以鏈接或二維碼方式網(wǎng)絡(luò)傳播。

一旦被掃碼下載并執(zhí)行，.ISO 文件就會(huì)被提取，并作為驅(qū)動(dòng)安裝在受害者的機(jī)器上，從而獲得了對(duì)系統(tǒng)的初始訪問(wèn)權(quán)限。

這個(gè) ISO 中有一個(gè)用于安裝 ChromeLoader 的可執(zhí)行文件，以及似乎是 Windows 任務(wù)計(jì)劃程序的 .NET 包裝器。這讓 ChromeLoader 在入侵之后能保持偽裝，保持其在受害者機(jī)器上的持久性。

ChromeLoader 使用計(jì)劃任務(wù)，但不通過(guò) Windows 本機(jī)任務(wù)計(jì)劃程序 (schtasks.exe) 來(lái)執(zhí)行此操作。相反，它通過(guò)跨進(jìn)程注入服務(wù)主機(jī) (svchost.exe) 并創(chuàng)建其計(jì)劃任務(wù)調(diào)度程序。

跨進(jìn)程注入完成后，ChromeLoader 的定時(shí)任務(wù)會(huì)通過(guò) svchost 執(zhí)行，它調(diào)用命令解釋器(cmd.exe)，該命令解釋器執(zhí)行包含多個(gè)聲明變量的 Base64 編碼的 PowerShell 命令。

隨后，ChromeLoader 開始使用 PowerShell 命令檢查是否安裝了 ChromeLoader 惡意擴(kuò)展，如果沒(méi)有找到路徑，它就會(huì)使用 wget 遠(yuǎn)程拉取文件并將內(nèi)容加載為 Chrome 擴(kuò)展程序。當(dāng) ChromeLoader 惡意擴(kuò)展程序被安裝到 Chrome 中，就可以執(zhí)行其真正的目標(biāo)：強(qiáng)制修改受害者的搜索結(jié)果，將其重定向到惡意廣告站點(diǎn)。

ChromeLoader 還會(huì)在用戶嘗試刪除該擴(kuò)展程序時(shí)進(jìn)行重定向，強(qiáng)制用戶離開 Chrome 擴(kuò)展程序頁(yè)面。

此外，由于其作為命令和腳本解釋器的能力，PowerShell 始終是惡意軟件的首選命令執(zhí)行方法。

Aedan Russell 稱：“這是一種將惡意擴(kuò)展加載到 Chrome 中的新方法，除了 ChromeLoader 之外，沒(méi)有其他已知的威脅行為在嘗試使用這種加載惡意瀏覽器擴(kuò)展的 PowerShell 技術(shù) “

” 但是，這種技術(shù)是有據(jù)可查的，它經(jīng)常被開發(fā)人員使用。”

本文轉(zhuǎn)自O(shè)SCHINA

本文標(biāo)題：Windows 惡意軟件通過(guò) PowerShell 向 Chrome 注入惡意擴(kuò)展

本文地址：https://www.oschina.net/news/197828/chromeloader-malware-powershell