ChromeLoader 正在通过破解游戏进行传播
source link: https://www.51cto.com/article/748176.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
ChromeLoader 正在通过破解游戏进行传播
因为微软默认禁用了互联网下载文件的宏代码,攻击者在恶意软件分发中开始越来越多地使用磁盘镜像文件(如 ISO 和 VHD)。近期,研究人员发现攻击者在利用 VHD 文件分发 ChromeLoader。从文件名来看,攻击者将恶意软件伪装到任天堂和 Steam 游戏的破解版中。如下所示,一些游戏是付费游戏。
分发的文件名
利用文件名在 Google 上进行检索,可以发现多个分发恶意软件的网站。其中都部署了大量的破解版游戏与破解版付费应用程序,从任何一个来源下载非法程序都会中招。
搜索引擎结果
例如点击恶意网站的广告,下载一个普通的程序文件:
恶意网站广告
用户很容易将 VHD 文件误认为是游戏相关的程序,VHD 中的文件如下所示。除了 Install.lnk 文件之外的所有文件都被隐藏了,因此普通用户只会看到 Install.lnk 文件。
VHD 中的文件
LNK 文件会运行 properties.bat 文件,该脚本会调用 tar 命令解压 files.zip 文件到指定目录。
properties.bat
files.zip 文件中包含良性文件和与 node-webkit(nw.js) 相关的恶意 JavaScript 文件(注:node-webkit 是一个使用 Chromium 和 Node.js 的网络应用程序。),通过 nw.exe 运行并引用 package.json 文件中写入的数据进行加载。
files.zip
properties.bat 运行 data.ini 文件与解压后生成的 videos.exe 文件。前者为 VBS 脚本,会在 %AppData%\Microsoft\Windows\Start Menu\Programs\Startup\ 中创建 videos.exe 的快捷方式。
data.ini
videos.exe 文件里有 nw.exe 文件,可以引用 package.json 来运行 main 函数指定的脚本文件。本例中指定的是 start.html 文件,其中包含混淆后的恶意 JavaScript 文件。
package.json
最终,videos.exe 文件会执行 start.html 中的恶意 JavaScript 代码下载 ChromeLoader。ChromeLoader 是一种通过 Chrome 扩展程序执行恶意行为的广告类恶意软件,也可以窃取浏览器凭据并篡改浏览器设置。
最近,使用磁盘镜像文件的恶意软件有所增加,攻击者也常常将恶意软件伪装成破解游戏和破解程序。用户在执行从未知来源下载的文件时,必须格外小心。安全研究人员建议,用户要从官方网站下载软件。
Recommend
-
67
Go 1.7 引入了一个内置的上下文(context)类型。在系统中,可以使用 context 传递请求范围的元数据,例如不同函数,线程甚至进程之间的请求 ID。Go 将 context 引入标准库的初衷是以统一同一进程内的 c...
-
6
奥密克戎亚型变异株BA.2正在全球快速传播 我们目前知道点啥? 0评论 2022-02-03 02:25:04 来源:财联社 ...
-
2
新浪VR > 正文页 G胖:Valve 正在对新头显和游戏进行大笔投资...
-
6
使用特征传播重构缺失数据进行图机器学习-51CTO.COM 使用特征传播重构缺失数据进行图机器学习 作者:deephub 2022-02-13 00:27:34 大多数图神经网络通常在所有节点都可用的特征假设下运行。但是在...
-
12
在Istio中使用OpenTracing Baggage进行传播和路由 · Service Mesh|服务网格中文社区 现代服务网格架构提供了很多的新功能,基础设施相关的依赖部分被逐步从代码中移除,极大的降低了编码工作量。除此之外,这一架构...
-
1
ChromeLoader恶意软件激增,恐将威胁全球浏览器-51CTO.COM
-
7
05月27日 08:07Ronin:CertiK 正在进行第二次外部审计,若通过将在 6 月中旬重新开放 Ronin Bridge火星财经消息,NFT 游戏 Axie Infinity 侧链 Ronin Network 宣布 Ronin Bridge 已完成由 Verichains Lab 主导的...
-
2
VMware warns new ChromeLoader variants pose a serious risk
-
7
微软高管称正在游戏领域尝试进行创新,希望能打造游戏界的网飞
-
5
← 地球面临的大型小行星威胁被低估了八里 @ 2023.03.24 , 10:59...
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK