據(jù)外媒 The register 報(bào)道，最近網(wǎng)絡(luò)上出現(xiàn)了一種名為 ChromeLoader 的 Windows 惡意軟件，它會利用 PowerShell 向受害者的 Chrome 瀏覽器添加惡意擴(kuò)展。該惡意 Chrome 擴(kuò)展會通過在線廣告強(qiáng)制重定向用戶，從而為不法分子帶來收入。

該惡意軟件還存在 macOS 變體，它使用 Bash 來實(shí)現(xiàn)相同的目標(biāo)，且以 Safari 為目標(biāo)。安全公司 Red Canary 的工程師 Aedan Russell 在一篇博客中詳細(xì)介紹了該惡意軟件。

ChromeLoader 通過以 ISO 文件的形式分發(fā)，該文件看起來像種子文件或破解的視頻游戲。據(jù) Red Canary 稱，它通過網(wǎng)站和 Twitter 等社交媒體，以鏈接或二維碼方式網(wǎng)絡(luò)傳播。

一旦被掃碼下載并執(zhí)行，.ISO 文件就會被提取，并作為驅(qū)動安裝在受害者的機(jī)器上，從而獲得了對系統(tǒng)的初始訪問權(quán)限。

這個 ISO 中有一個用于安裝 ChromeLoader 的可執(zhí)行文件，以及似乎是 Windows 任務(wù)計(jì)劃程序的 .NET 包裝器。這讓 ChromeLoader 在入侵之后能保持偽裝，保持其在受害者機(jī)器上的持久性。

ChromeLoader 使用計(jì)劃任務(wù)，但不通過 Windows 本機(jī)任務(wù)計(jì)劃程序 (schtasks.exe) 來執(zhí)行此操作。相反，它通過跨進(jìn)程注入服務(wù)主機(jī) (svchost.exe) 并創(chuàng)建其計(jì)劃任務(wù)調(diào)度程序。

跨進(jìn)程注入完成后，ChromeLoader 的定時任務(wù)會通過 svchost 執(zhí)行，它調(diào)用命令解釋器(cmd.exe)，該命令解釋器執(zhí)行包含多個聲明變量的 Base64 編碼的 PowerShell 命令。

隨后，ChromeLoader 開始使用 PowerShell 命令檢查是否安裝了 ChromeLoader 惡意擴(kuò)展，如果沒有找到路徑，它就會使用 wget 遠(yuǎn)程拉取文件并將內(nèi)容加載為 Chrome 擴(kuò)展程序。當(dāng) ChromeLoader 惡意擴(kuò)展程序被安裝到 Chrome 中，就可以執(zhí)行其真正的目標(biāo)：強(qiáng)制修改受害者的搜索結(jié)果，將其重定向到惡意廣告站點(diǎn)。

ChromeLoader 還會在用戶嘗試刪除該擴(kuò)展程序時進(jìn)行重定向，強(qiáng)制用戶離開 Chrome 擴(kuò)展程序頁面。

此外，由于其作為命令和腳本解釋器的能力，PowerShell 始終是惡意軟件的首選命令執(zhí)行方法。

Aedan Russell 稱：“這是一種將惡意擴(kuò)展加載到 Chrome 中的新方法，除了 ChromeLoader 之外，沒有其他已知的威脅行為在嘗試使用這種加載惡意瀏覽器擴(kuò)展的 PowerShell 技術(shù) “

” 但是，這種技術(shù)是有據(jù)可查的，它經(jīng)常被開發(fā)人員使用?！?/p>

本文轉(zhuǎn)自O(shè)SCHINA

本文標(biāo)題：Windows 惡意軟件通過 PowerShell 向 Chrome 注入惡意擴(kuò)展

本文地址：https://www.oschina.net/news/197828/chromeloader-malware-powershell