ChromeLoader 正在通过破解游戏进行传播

安全
最近,使用磁盘镜像文件的恶意软件有所增加,攻击者也常常将恶意软件伪装成破解游戏和破解程序。用户在执行从未知来源下载的文件时,必须格外小心。

因为微软默认禁用了互联网下载文件的宏代码,攻击者在恶意软件分发中开始越来越多地使用磁盘镜像文件(如 ISO 和 VHD)。近期,研究人员发现攻击者在利用 VHD 文件分发 ChromeLoader。从文件名来看,攻击者将恶意软件伪装到任天堂和 Steam 游戏的破解版中。如下所示,一些游戏是付费游戏。

image.png-100.9kB

分发的文件名

利用文件名在 Google 上进行检索,可以发现多个分发恶意软件的网站。其中都部署了大量的破解版游戏与破解版付费应用程序,从任何一个来源下载非法程序都会中招。

image.png-58.6kB

搜索引擎结果

例如点击恶意网站的广告,下载一个普通的程序文件:

image.png-180.6kB

恶意网站广告

用户很容易将 VHD 文件误认为是游戏相关的程序,VHD 中的文件如下所示。除了 Install.lnk 文件之外的所有文件都被隐藏了,因此普通用户只会看到 Install.lnk 文件。

image.png-14.9kB

VHD 中的文件

LNK 文件会运行 properties.bat 文件,该脚本会调用 tar 命令解压 files.zip 文件到指定目录。

image.png-68.2kB

properties.bat

files.zip 文件中包含良性文件和与 node-webkit(nw.js) 相关的恶意 JavaScript 文件(注:node-webkit 是一个使用 Chromium 和 Node.js 的网络应用程序。),通过 nw.exe 运行并引用 package.json 文件中写入的数据进行加载。

image.png-177.7kB

files.zip

properties.bat 运行 data.ini 文件与解压后生成的 videos.exe 文件。前者为 VBS 脚本,会在 %AppData%\Microsoft\Windows\Start Menu\Programs\Startup\ 中创建 videos.exe 的快捷方式。

image.png-69.2kB

data.ini

videos.exe 文件里有 nw.exe 文件,可以引用 package.json 来运行 main 函数指定的脚本文件。本例中指定的是 start.html 文件,其中包含混淆后的恶意 JavaScript 文件。

image.png-41.1kB

package.json

最终,videos.exe 文件会执行 start.html 中的恶意 JavaScript 代码下载 ChromeLoader。ChromeLoader 是一种通过 Chrome 扩展程序执行恶意行为的广告类恶意软件,也可以窃取浏览器凭据并篡改浏览器设置。

总结

最近,使用磁盘镜像文件的恶意软件有所增加,攻击者也常常将恶意软件伪装成破解游戏和破解程序。用户在执行从未知来源下载的文件时,必须格外小心。安全研究人员建议,用户要从官方网站下载软件。

责任编辑:赵宁宁
相关推荐

2024-02-02 10:25:00

2018-04-09 10:24:31

2022-05-23 13:36:31

恶意软件网络攻击

2013-04-07 14:16:44

2022-08-31 08:24:19

恶意软件网络攻击

2009-08-24 08:46:05

2018-06-29 11:11:42

2021-12-07 18:39:19

黑客虚假广告恶意软件

2022-04-07 12:13:51

恶意软件加密

2022-06-09 15:35:48

深度学习AI

2013-10-21 18:13:06

WiresharkQtQt重写

2009-05-20 11:30:21

2011-03-30 09:52:09

2014-10-13 10:37:59

2014-03-13 09:16:24

2022-06-05 23:14:33

区块链通信工具

2021-04-15 09:58:45

恶意广告TikTok网络犯罪

2015-08-05 10:35:46

2019-10-24 15:36:17

区块链Deepfake视频假新闻

2015-06-24 10:23:54

点赞
收藏

51CTO技术栈公众号