该恶意软件还存在 macOS 变体,它使用 Bash 来实现相同的目标,且以 Safari 为目标。安全公司 Red Canary 的工程师 Aedan Russell 在一篇博客中详细介绍了该恶意软件。
ChromeLoader 通过以 ISO 文件的形式分发,该文件看起来像种子文件或破解的视频游戏。据 Red Canary 称,它通过网站和 Twitter 等社交媒体,以链接或二维码方式网络传播。
一旦被扫码下载并执行,.ISO 文件就会被提取,并作为驱动安装在受害者的机器上,从而获得了对系统的初始访问权限。
这个 ISO 中有一个用于安装 ChromeLoader 的可执行文件,以及似乎是 Windows 任务计划程序的 .NET 包装器。这让 ChromeLoader 在入侵之后能保持伪装,保持其在受害者机器上的持久性。
ChromeLoader 使用计划任务,但不通过 Windows 本机任务计划程序 (schtasks.exe) 来执行此操作。相反,它通过跨进程注入服务主机 (svchost.exe) 并创建其计划任务调度程序。
跨进程注入完成后,ChromeLoader 的定时任务会通过 svchost 执行,它调用命令解释器(cmd.exe),该命令解释器执行包含多个声明变量的 Base64 编码的 PowerShell 命令。
随后,ChromeLoader 开始使用 PowerShell 命令检查是否安装了 ChromeLoader 恶意扩展,如果没有找到路径,它就会使用 wget 远程拉取文件并将内容加载为 Chrome 扩展程序。当 ChromeLoader 恶意扩展程序被安装到 Chrome 中,就可以执行其真正的目标:强制修改受害者的搜索结果,将其重定向到恶意广告站点。
ChromeLoader 还会在用户尝试删除该扩展程序时进行重定向,强制用户离开 Chrome 扩展程序页面。
此外,由于其作为命令和脚本解释器的能力,PowerShell 始终是恶意软件的首选命令执行方法。
Aedan Russell 称:“这是一种将恶意扩展加载到 Chrome 中的新方法,除了 ChromeLoader 之外,没有其他已知的威胁行为在尝试使用这种加载恶意浏览器扩展的 PowerShell 技术 “
” 但是,这种技术是有据可查的,它经常被开发人员使用。”
本文转自OSCHINA
本文Windows 恶意软件通过 PowerShell 向 Chrome 注入恶意扩展
本文地址:https://www.oschina.net/news/197828/chromeloader-malware-powershell