文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

Windows 恶意软件通过 PowerShell 向 Chrome 注入恶意扩展

2024-12-02 01:00

关注

该恶意软件还存在 macOS 变体,它使用 Bash 来实现相同的目标,且以 Safari 为目标。安全公司 Red Canary 的工程师 Aedan Russell 在一篇博客中详细介绍了该恶意软件。

ChromeLoader 通过以 ISO 文件的形式分发,该文件看起来像种子文件或破解的视频游戏。据 Red Canary 称,它通过网站和 Twitter 等社交媒体,以链接或二维码方式网络传播。

一旦被扫码下载并执行,.ISO 文件就会被提取,并作为驱动安装在受害者的机器上,从而获得了对系统的初始访问权限。

这个 ISO 中有一个用于安装 ChromeLoader 的可执行文件,以及似乎是 Windows 任务计划程序的 .NET 包装器。这让 ChromeLoader 在入侵之后能保持伪装,保持其在受害者机器上的持久性。

ChromeLoader 使用计划任务,但不通过 Windows 本机任务计划程序 (schtasks.exe) 来执行此操作。相反,它通过跨进程注入服务主机 (svchost.exe) 并创建其计划任务调度程序。

跨进程注入完成后,ChromeLoader 的定时任务会通过 svchost 执行,它调用命令解释器(cmd.exe),该命令解释器执行包含多个声明变量的 Base64 编码的 PowerShell 命令。

随后,ChromeLoader 开始使用 PowerShell 命令检查是否安装了 ChromeLoader 恶意扩展,如果没有找到路径,它就会使用 wget 远程拉取文件并将内容加载为 Chrome 扩展程序。当 ChromeLoader 恶意扩展程序被安装到 Chrome 中,就可以执行其真正的目标:强制修改受害者的搜索结果,将其重定向到恶意广告站点。

ChromeLoader 还会在用户尝试删除该扩展程序时进行重定向,强制用户离开 Chrome 扩展程序页面。

此外,由于其作为命令和脚本解释器的能力,PowerShell 始终是恶意软件的首选命令执行方法。

Aedan Russell 称:“这是一种将恶意扩展加载到 Chrome 中的新方法,除了 ChromeLoader 之外,没有其他已知的威胁行为在尝试使用这种加载恶意浏览器扩展的 PowerShell 技术 “

” 但是,这种技术是有据可查的,它经常被开发人员使用。”

本文转自OSCHINA

本文Windows 恶意软件通过 PowerShell 向 Chrome 注入恶意扩展

本文地址:https://www.oschina.net/news/197828/chromeloader-malware-powershell

来源:OSCHINA内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯