据外媒报道,近日互联网上出现了一款名为ChromeLoader的Windows恶意软件,它利用PowerShell向受害者的Chrome浏览器中添加恶意扩展程序。这个恶意的Chrome扩展通过在线广告强行重定向用户来为犯罪分子创造收入。此恶意软件还有一个macOS变体,它使用Bash来实现相同的目标并以Safari为目标。安全公司RedCanary的工程师AedanRussell在博客文章中详细介绍了该恶意软件。ChromeLoader作为ISO文件分发,看起来像torrent或破解的视频游戏。据RedCanary称,它通过网站和Twitter等社交媒体以链接或二维码的形式在线传播。一旦扫描、下载和执行,.ISO文件就会被提取并作为驱动程序安装在受害者的机器上,从而获得对系统的初始访问权限。这个ISO有一个用于安装ChromeLoader的可执行文件,以及一个似乎是Windows任务计划程序的.NET包装器。这允许ChromeLoader在入侵后保持伪装,在受害者的机器上保持其持久性。ChromeLoader使用计划任务,但不通过Windows本机任务计划程序(schtasks.exe)来执行此操作。相反,它跨进程注入服务主机(svchost.exe)并创建其计划任务调度程序。跨进程注入完成后,ChromeLoader的cron作业将通过svchost执行,它会调用一个命令解释器(cmd.exe),该解释器会执行一个包含多个已声明变量的Base64编码的PowerShell命令。然后ChromeLoader开始使用PowerShell命令检查是否安装了恶意ChromeLoader扩展程序,如果没有找到路径,它会使用wget远程拉取文件并将内容作为Chrome扩展程序加载。一旦ChromeLoader恶意扩展程序被安装在Chrome中,它就可以执行它的真正目标:强行修改受害者的搜索结果并将其重定向到恶意广告站点。当用户试图删除扩展程序时,ChromeLoader也会重定向,迫使用户离开Chrome扩展程序页面。此外,PowerShell仍然是恶意软件命令执行的首选方法,因为它能够充当命令和脚本解释器。“这是一种将恶意扩展程序加载到Chrome中的新方法,除了ChromeLoader之外,没有其他已知的威胁行为者试图使用这种PowerShell技术来加载恶意浏览器扩展程序,”AedanRussell说。这种技术有据可查,经常被开发者使用。”本文转自OSCHINA文章标题:Windows恶意软件通过PowerShell向Chrome注入恶意扩展本文地址:https://www.oschina.net/news/197828/chromeloader-malware-powershell
