據(jù)調(diào)查,相較年初以來(lái)的穩(wěn)定,ChromeLoader惡意軟件的數(shù)量在本月有所上升,這將導(dǎo)致瀏覽器劫持成為一種普遍的威脅。ChromeLoader是一種瀏覽器劫持程序,它可以修改受害者的網(wǎng)絡(luò)瀏覽器設(shè)置,以宣傳不需要的軟件、虛假?gòu)V告,甚至?xí)谒阉黜?yè)面展示成人游戲和約會(huì)網(wǎng)站。威脅行為者將用戶流量重定向到廣告網(wǎng)站,通過(guò)營(yíng)銷聯(lián)盟系統(tǒng)獲得經(jīng)濟(jì)收益。雖然這類劫持者并不少見(jiàn),但ChromeLoader因其持久性、數(shù)量和感染途徑而脫穎而出,其中包括對(duì)濫用PowerShell。
今年2月以來(lái),Red Canary 研究人員一直保持對(duì)ChromeLoader的追蹤,據(jù)他說(shuō),劫持者使用惡意ISO存檔文件來(lái)感染他們的受害者。ISO文件會(huì)被偽裝成游戲或商業(yè)軟件的破解可執(zhí)行文件,所以受害者在不知情的情況下會(huì)從torrent或惡意網(wǎng)站下載它。研究人員還注意到,Twitter上有帖子推廣破解的Android游戲,并提供二維碼,這也會(huì)導(dǎo)致用戶進(jìn)入惡意軟件托管網(wǎng)站。
當(dāng)在Windows 10及以上版本操作系統(tǒng)雙擊ISO文件時(shí),會(huì)將ISO文件掛載為虛擬光驅(qū)。這個(gè)ISO文件包含一個(gè)可執(zhí)行文件,它使用“CS_Installer.exe”這樣的名稱,假裝是一個(gè)游戲破解程序或keygen。最后,ChromeLoader執(zhí)行并解碼PowerShell命令,從遠(yuǎn)程資源獲取存檔并加載為谷歌Chrome擴(kuò)展。完成此操作后,PowerShell 將刪除計(jì)劃任務(wù),使Chrome感染一個(gè)靜默注入的擴(kuò)展程序,該擴(kuò)展程序劫持瀏覽器并操縱搜索引擎結(jié)果。
ChromeLoader惡意軟件同時(shí)也針對(duì)macOS系統(tǒng),意在同時(shí)操縱Chrome和Apple的Safari 網(wǎng)絡(luò)瀏覽器。macOS上的感染鏈也類似,但威脅參與者使用DMG(Apple 磁盤映像)文件代替ISO,這是該操作系統(tǒng)上更常見(jiàn)的格式。不過(guò)macOS變體使用安裝程序bash腳本下載并解壓ChromeLoader擴(kuò)展到“private/var/tmp”目錄,而不是安裝程序可執(zhí)行文件。
為了保持持久性,macOS版本的ChromeLoader會(huì)在‘/Library/LaunchAgents’目錄下追加一個(gè)首選項(xiàng)(' plist ')文件,這確保了每次用戶登錄到一個(gè)圖形會(huì)話,且ChromeLoader的Bash腳本可以持續(xù)運(yùn)行.
當(dāng)?shù)貢r(shí)間3月21日,聯(lián)合國(guó)大會(huì)一致通過(guò)了全球第一個(gè)關(guān)于人工智
近日,研究人員了披露了一個(gè)有關(guān) Saflok 電子 RFID
Gartner于2022年首次發(fā)布《2022年中國(guó)安全技術(shù)成
近期國(guó)務(wù)院學(xué)位委員會(huì)、教育部印發(fā)通知,發(fā)布《研究生教育學(xué)科
國(guó)內(nèi)證監(jiān)會(huì)發(fā)布《證券期貨業(yè)數(shù)據(jù)安全管理與保護(hù)指引》等7項(xiàng)金融
029-63648670
zoyink@zoyink.com
關(guān)注
官方微信