據(jù)gbhackers消息，名為LegionLoader 的惡意軟件正通過Chrome 擴(kuò)展分發(fā)竊密軟件，包括對(duì)受害者實(shí)施電子郵件操縱、跟蹤瀏覽，甚至將受感染的瀏覽器轉(zhuǎn)變?yōu)楣粽叩拇矸?wù)器，使其能夠使用受害者的憑證瀏覽網(wǎng)頁。

自 2024 年 8 月以來，研究人員觀察到LegionLoader 通過 Chrome 擴(kuò)展程序分發(fā)各種竊取程序，包括 LummaC2、Rhadamanthys 和 StealC，這些程序利用偷渡式下載和 RapidShare 來分發(fā)托管在 MEGA 上的有效載荷。這種特殊的加載程序具有截屏、管理加密貨幣賬戶和進(jìn)行金融交易的功能。

LegionLoader 改進(jìn)了側(cè)載技術(shù)，利用 steamerrorreporter64.exe 加載惡意 vstdlib_s64.dll，取代了以前使用的 rnp.dll 和 rnpkeys.exe的方法。

惡意程序會(huì)提示用戶進(jìn)行交互，以規(guī)避沙箱分析，表明用戶的 AppData\Roaming 文件夾中存在惡意組件，如 DLL 文件和依賴項(xiàng)，以實(shí)現(xiàn)持久化或逃避檢測。shellcode 最初是 Base64 編碼，然后使用 RC4 算法進(jìn)一步加密，該算法通過添加即時(shí)常量和從特定注冊表鍵中檢索值動(dòng)態(tài)生成，其目的是通過使惡意有效載荷更難以理解和識(shí)別來阻礙分析和檢測。

RC4 密鑰通過從注冊表密鑰中提取部分內(nèi)容生成，最后一部分來自硬編碼值的 CRC32 哈希值，然后用于解密 shellcode，解密過程可能會(huì)使用 CyberChef，使用 XTEA 算法對(duì)核心 LegionLoader 有效載荷進(jìn)行解密。 隨后，它利用進(jìn)程鏤空將解密后的有效載荷注入 explorer.exe 進(jìn)程，并使用 CRC32 加密 API 調(diào)用。

通過 CyberChef 解密 shellcode

LegionLoader 連接到硬編碼的 C2，并接收使用靜態(tài)密鑰進(jìn)行 Base64 編碼和 RC4 加密的配置。 在向 C2 服務(wù)器發(fā)送 GET 請(qǐng)求時(shí)通常向"/test_gate0117.php"，并在 'a' 參數(shù)后附加一個(gè)隨機(jī)生成的 16 個(gè)字符的字母數(shù)字字符串。

惡意軟件利用這種配置，可定義在受感染機(jī)器上執(zhí)行惡意有效載荷的參數(shù)。 據(jù) Trac-Labs 稱，參數(shù)包括用于指定執(zhí)行次數(shù)、加密狀態(tài)、有效載荷類型（DLL、PowerShell）、目標(biāo)國家和執(zhí)行后跟蹤機(jī)制等選項(xiàng)。

據(jù)悉，LegionLoader最早在2019年就已經(jīng)出現(xiàn)，因能投放多種不同的惡意軟件來執(zhí)行攻擊而受到關(guān)注。