- 27 5 月, 2022
- Posted by: admin
- Category: 教學資訊
ChromeLoader 惡意軟件的檢測量在本月有所上升,
自今年年初以來數量相對穩定,導致瀏覽器劫持成為一種普遍的威脅。
ChromeLoader 是一種瀏覽器劫持程序,它可以修改受害者的網絡瀏覽器設置,
以顯示宣傳不需要的軟件、虛假贈品和調查以及成人遊戲和約會網站的搜索結果。
該惡意軟件的運營商通過將用戶流量重定向到廣告網站,通過營銷聯盟系統獲得經濟收益。
這類劫持者有很多,但 ChromeLoader 因其持久性、
數量和感染途徑而脫穎而出,這涉及到對 PowerShell 的積極使用。
濫用 PowerShell
根據自今年 2 月以來一直在跟踪 ChromeLoader 活動的Red Canary 研究人員的說法,
劫持者的操作員使用惡意的 ISO 存檔文件來感染他們的受害者。
ISO 偽裝成遊戲或商業軟件的破解可執行文件,因此受害者很可能自己從 torrent 或惡意網站下載它。
研究人員還注意到推特帖子宣傳破解的 Android 遊戲並提供導致惡意軟件託管網站的二維碼。
當有人在 Windows 10 或更高版本中雙擊 ISO 文件時,ISO 文件將被掛載為虛擬 CD-ROM 驅動器。
此 ISO 文件包含一個偽裝成遊戲破解或 keygen 的可執行文件,使用名稱如“CS_Installer.exe”。
最後,ChromeLoader 執行並解碼一個 PowerShell 命令,
該命令從遠程資源獲取存檔並將其作為 Google Chrome 擴展加載。
完成此操作後,PowerShell 將刪除計劃任務,
使 Chrome 感染一個靜默注入的擴展程序,該擴展程序劫持瀏覽器並操縱搜索引擎結果。
( Red Canary)
macOS 也針對
ChromeLoader 的運營商還針對 macOS 系統,
希望同時操縱 Chrome 和 Apple 的 Safari 網絡瀏覽器。
macOS 上的感染鏈類似,但威脅參與者使用 DMG(Apple 磁盤映像)文件代替 ISO,
這是該操作系統上更常見的格式。
此外,macOS 變體不是安裝程序可執行文件,而是使用安裝程序 bash 腳本,
該腳本將 ChromeLoader 擴展下載並解壓縮到“private/var/tmp”目錄中。
“為了保持持久性,ChromeLoader 的 macOS 變體會將首選項 (`plist`) 文件附加到`/Library/LaunchAgents` 目錄,
”Red Canary 的報告解釋道。
“這確保了每次用戶登錄到圖形會話時,
ChromeLoader 的 Bash 腳本都可以持續運行。”
有關檢查 Web 瀏覽器中運行的擴展程序以及如何管理、
限製或刪除它們的說明,請查看Chrome 指南或Safari指南。