ChromeLoader正在通过破解游戏进行传播
翻译自:https://asec.ahnlab.com/en/48211/
因为微软默认禁用了互联网下载文件的宏代码,攻击者在恶意软件分发中开始越来越多地使用磁盘镜像文件(如 ISO 和 VHD)。近期,研究人员发现攻击者在利用 VHD 文件分发 ChromeLoader。从文件名来看,攻击者将恶意软件伪装到任天堂和 Steam 游戏的破解版中。如下所示,一些游戏是付费游戏。
分发的文件名
利用文件名在 Google 上进行检索,可以发现多个分发恶意软件的网站。其中都部署了大量的破解版游戏与破解版付费应用程序,从任何一个来源下载非法程序都会中招。
搜索引擎结果
例如点击恶意网站的广告,下载一个普通的程序文件:
恶意网站广告
用户很容易将 VHD 文件误认为是游戏相关的程序,VHD 中的文件如下所示。除了 Install.lnk 文件之外的所有文件都被隐藏了,因此普通用户只会看到 Install.lnk 文件。
VHD 中的文件
LNK 文件会运行 properties.bat 文件,该脚本会调用 tar 命令解压 files.zip 文件到指定目录。
properties.bat
files.zip 文件中包含良性文件和与 node-webkit(nw.js) 相关的恶意 JavaScript 文件(注:node-webkit 是一个使用 Chromium 和 Node.js 的网络应用程序。),通过 nw.exe 运行并引用 package.json 文件中写入的数据进行加载。
files.zip
properties.bat 运行 data.ini 文件与解压后生成的 videos.exe 文件。前者为 VBS 脚本,会在 %AppData%MicrosoftWindowsStart MenuProgramsStartup 中创建 videos.exe 的快捷方式。
data.ini
videos.exe 文件里有 nw.exe 文件,可以引用 package.json 来运行 main 函数指定的脚本文件。本例中指定的是 start.html 文件,其中包含混淆后的恶意 JavaScript 文件。
package.json
最终,videos.exe 文件会执行 start.html 中的恶意 JavaScript 代码下载 ChromeLoader。ChromeLoader 是一种通过 Chrome 扩展程序执行恶意行为的广告类恶意软件,也可以窃取浏览器凭据并篡改浏览器设置。 总结
最近,使用磁盘镜像文件的恶意软件有所增加,攻击者也常常将恶意软件伪装成破解游戏和破解程序。用户在执行从未知来源下载的文件时,必须格外小心。安全研究人员建议,用户要从官方网站下载软件。 IOC
bdcb5c80a664d82a28469f9fce0fbb12
ae8ae62aa04f06d32c548c2ef493a39f
82024e7af52481e71760c9d119eb903f
3515115d7efa1ac42bd56bc9348cd4f8
irymountain.com[.]ua
lesexwrecko[.]xyz
alnormatic[.]xyz
中秋出游必看8个提升旅途幸福感的小物品,便宜又实用中秋假期还有3天就要来了,虽然最近因为口罩原因,可能很多地方都不能去,但是我估计和我一样爱旅游的姐妹一定还是会蠢蠢欲动,想要趁着秋高气爽的时候,出去走一走。今天先分享大家几个我平时
它才是世界最斜的塔来源环球时报环球时报驻德国特约记者昭东德国莱茵兰普法尔茨州高魏恩海姆小镇的一座钟楼塔,近日被正式列为世界最斜的塔。7月的测量结果表明,这座钟楼塔的倾斜度达到5。4277度,超过了举
衡水湖号公交线路将于9月10日开通冀时客户端报道(河北台王美中熊瑛李宝伟)为助力衡水市打造衡水湖国家5A级旅游景区旅游品牌,加快构建高效便捷的互联互通公共交通网络,实现公交景区无缝衔接,9月10日,衡水市交通运输局
故宫御猫181只网红萌宠,白天吃喝睡,晚上却是了不起的小卫士2019年10月,在北京故宫神武门附近的故宫淘宝体验馆门前,赫然出现了4只栩栩如生的巨型御猫的雕像,它们可爱的模样,吸引着人们纷纷驻足拍照。从此,来故宫的游客们,除了观赏古建筑和文
你去酒店开房的记录会有多少人看到?导语不管是因为出差还是因为一些特殊的情况,很多人都会选择去住酒店,住旅馆。现在很多酒店旅馆都可以说别出心裁,不但有情侣套房,还有情侣酒店,总之你开房以后一些服务都是非常到位的。不知
夏季治安打击整治百日行动湖北公安让游客游得开心玩得安心来源人民公安报暑假期间,荆州民警在方特乐园景区巡逻。刘园园摄灵秀湖北,人文荟萃,风光秀美。今年暑期,湖北省14个5A级风景区和各景区景点吸引着众多游客。湖北公安机关以夏季治安打击整
45张图带你从入门到精通学习WireShark你好,这里是网络技术联盟站。前几天文章中我们介绍了常用的抓包工具,有朋友表示用WireShark场景比较多,想让我写一篇有关WireShark详细的文章,那么今天瑞哥安排!一什么是
华为MatePadPro12。6英寸首发评测全能旗舰平板,更是生产力利器提到生产力工具,大多数朋友首先想到的应该都是电脑。而随着移动办公需求与日俱增,平板也开始成为了大家的主流生产力工具。就在前不久,搭载HarmonyOS3的旗舰平板华为MatePad
夜读被七位数QQ号曝光的年龄正好看到这么一条朋友圈内容新学校家校互动要求使用QQ联系,只能启用大学时期七位数的QQ老号,有一种莫名的尴尬感。七位数的QQ,无意中暴露了这位姐姐的年龄。让我也想到了自己一直默默挂
苹果发布会最便宜新品一根挂绳98元今天苹果举办的新品发布会上,共带来了共计8款新品包括四款手机三款手表一款耳机。手机从5999元到13499元不等,手表从1999元到6299元不等,耳机(AirPodsPro2)售
有了华为小艺智慧助手,身边就像跟着一个小秘书有了华为小艺智慧助手,身边就像跟着一个小秘书!在现代快节奏的生活中,如果日常琐事都可以快速解决,或者身边跟着一个秘书帮忙一起处理,那将是多美好的画面。现在,这个梦想有了实现的可能了