DDos
VIP Members
-
22/10/2013
-
524
-
2.191 bài viết
Chuyên gia cảnh báo về phần mềm độc hại ChromeLoader
Các nhà nghiên cứu của Red Canary đã phát hiện một chiến dịch quảng cáo độc hại nhằm phát tán mã độc ChromeLoader, từ đó chiếm quyền điều khiển trình duyệt.
ChromeLoader là một tiện ích mở rộng độc hại của trình duyệt Chrome, với khả năng sửa đổi cài đặt trình duyệt để chuyển hướng lưu lượng truy cập của người dùng. Kẻ xấu phát tán phần mềm độc hại thông qua tệp ISO giả mạo trò chơi điện tử bị bẻ khóa, phim hoặc chương trình truyền hình vi phạm bản quyền.
Các chuyên gia an ninh mạng phân tích: "Để qua mặt công cụ an ninh, ChromeLoader sử dụng PowerShell để chèn và thêm mã độc, đây là kỹ thuật mà chúng tôi không gặp thường xuyên. Nếu được áp dụng vào trình thu thập thông tin xác thực hoặc phần mềm gián điệp, PowerShell có thể giúp phần mềm độc hại xâm nhập và tránh bị phát hiện trước khi thực hiện các hoạt động trái phép như đánh cắp dữ liệu từ phiên trình duyệt của người dùng."
Mã độc có thể chuyển hướng lưu lượng truy cập và chiếm quyền điều khiển các truy vấn tìm kiếm của người dùng tới Google, Yahoo và Bing, đồng thời cũng có thể sử dụng PowerShell để tự đưa vào trình duyệt và thêm tiện ích mở rộng.
Khi lệnh thực thi được kích hoạt trong tệp .ISO, ChromeLoader được cài đặt và viết bằng nền tảng .NET, thiết lập tương ứng trong Windows Task Scheduler để kẻ xấu truy cập lâu dài.
Các chuyên gia phân tích thêm: "Việc thực thi CS_Installer.exe duy trì truy cập thông qua cài đặt tác vụ đã lên lịch (scheduled task) sử dụng Service Host Process (svchost.exe). Đáng chú ý, ChromeLoader không được coi là Windows Task Scheduler (schtasks.exe) để thêm vào scheduled task. Thay vào đó, tệp thực thi sử dụng Task Scheduler COM API, cùng với quá trình chèn chéo vào svchost.exe (được sử dụng để khởi chạy scheduled task của ChromeLoader)."
Vào tháng 4, nhà nghiên cứu Colin Cowie cũng công bố một phân tích về phiên bản macOS của ChromeLoader, mã độc có khả năng cài các tiện ích mở rộng trên cả trình duyệt Chrome và Safari.
Dấu hiệu để xác định máy tính có bị nhiễm ChromeLoader:
ChromeLoader là một tiện ích mở rộng độc hại của trình duyệt Chrome, với khả năng sửa đổi cài đặt trình duyệt để chuyển hướng lưu lượng truy cập của người dùng. Kẻ xấu phát tán phần mềm độc hại thông qua tệp ISO giả mạo trò chơi điện tử bị bẻ khóa, phim hoặc chương trình truyền hình vi phạm bản quyền.
Các chuyên gia an ninh mạng phân tích: "Để qua mặt công cụ an ninh, ChromeLoader sử dụng PowerShell để chèn và thêm mã độc, đây là kỹ thuật mà chúng tôi không gặp thường xuyên. Nếu được áp dụng vào trình thu thập thông tin xác thực hoặc phần mềm gián điệp, PowerShell có thể giúp phần mềm độc hại xâm nhập và tránh bị phát hiện trước khi thực hiện các hoạt động trái phép như đánh cắp dữ liệu từ phiên trình duyệt của người dùng."
Mã độc có thể chuyển hướng lưu lượng truy cập và chiếm quyền điều khiển các truy vấn tìm kiếm của người dùng tới Google, Yahoo và Bing, đồng thời cũng có thể sử dụng PowerShell để tự đưa vào trình duyệt và thêm tiện ích mở rộng.
Khi lệnh thực thi được kích hoạt trong tệp .ISO, ChromeLoader được cài đặt và viết bằng nền tảng .NET, thiết lập tương ứng trong Windows Task Scheduler để kẻ xấu truy cập lâu dài.
Các chuyên gia phân tích thêm: "Việc thực thi CS_Installer.exe duy trì truy cập thông qua cài đặt tác vụ đã lên lịch (scheduled task) sử dụng Service Host Process (svchost.exe). Đáng chú ý, ChromeLoader không được coi là Windows Task Scheduler (schtasks.exe) để thêm vào scheduled task. Thay vào đó, tệp thực thi sử dụng Task Scheduler COM API, cùng với quá trình chèn chéo vào svchost.exe (được sử dụng để khởi chạy scheduled task của ChromeLoader)."
Vào tháng 4, nhà nghiên cứu Colin Cowie cũng công bố một phân tích về phiên bản macOS của ChromeLoader, mã độc có khả năng cài các tiện ích mở rộng trên cả trình duyệt Chrome và Safari.
Dấu hiệu để xác định máy tính có bị nhiễm ChromeLoader:
- Dòng lệnh PowerShell chứa bản rút gọn của encodedCommand flag trong dòng lệnh
- PowerShell tạo ra chrome.exe chứa AppData\Local và tải các tiện ích mở rộng
- Tiến trình Shell tạo ra quá trình có mục đích tải tiện ích mở rộng Chrome
- Các lệnh được mã hóa Base64 chuyển thành một tiến trình shell
Theo: securityaffairs
Chỉnh sửa lần cuối bởi người điều hành: