首页
社区
课程
招聘
[原创]黑客恶意重打包Chrome 通过“软件盒子”、“海量软件管家”等传播
发表于: 2023-8-23 17:53 4569

[原创]黑客恶意重打包Chrome 通过“软件盒子”、“海量软件管家”等传播

2023-8-23 17:53
4569

近期,火绒威胁情报系统监测到,有黑客团伙伪造了带毒的Chrome浏览器,上传至“软件盒子”、“海量软件管家”等软件进行大量传播。病毒运行后会执行篡改浏览器启动页、新标签页等恶意行为。

海量软件管家

用户运行上述盗版 Chrome 浏览器安装包之后,被黑客篡改过 chrome.dll 文件会立即请求服务器配置,随后黑客便可执行篡改浏览器启动页,新标签页,以及URL重定向,隐藏URL等恶意行为,该病毒的执行流程图如下:

执行流程图

在此,火绒工程师建议广大用户在下载软件时,尽量选择官方或正规可信的应用商店,并安装可靠的安全软件以保护设备免受恶意软件和病毒的侵害。目前,火绒安全产品可对上述病毒进行拦截查杀,请用户及时更新病毒库以进行防御。

查杀图

一、 样本分析

被篡改的文件主要为chrome.dll,当Chrome浏览器启动后,chrome.dll会被加载,首先会解密出C&C服务器地址,并从C&C服务器获取配置文件地址,相关代码,如下图所示:

获取配置文件地址
获取配置文件并解析配置信息,相关代码,如下图所示:

获取、解密配置文件
解密后的配置信息,一些重要的字段,如下图所示:

配置信息重要字段
重要字段说明,如下图所示:

重要说明
接收到配置信息后,根据配置信息来执行一些恶意行为有:修改启动页、新标签页、URL重定向、隐藏URL,下面进行详细说明。
URL重定向功能,根据服务器下发的正则表达式,将匹配上的URL重定向到指定网址进行推广,如访问baidu.com会被重定位到eeeK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2T1j5h3W2V1N6g2)9J5k6h3y4G2L8g2)9J5c8W2)9K6c8Y4c8F1i4K6y4p5x3o6t1H3x3o6x3K6z5e0m8Q4y4h3j5K6z5g2)9#2k6X3S2S2L8#2)9#2k6Y4m8Y4i4@1g2r3i4@1u0o6i4K6S2o6i4@1f1#2i4K6R3#2i4@1t1K6i4@1f1&6i4K6V1@1i4@1q4q4i4@1f1@1i4@1u0n7i4@1p5K6i4@1f1%4i4@1p5H3i4K6R3I4i4@1g2r3i4@1u0o6i4K6S2o6i4@1f1#2i4@1p5$3i4K6R3J5i4@1f1@1i4@1t1^5i4K6S2n7i4@1f1#2i4K6W2n7i4@1u0q4i4@1f1$3i4K6R3&6i4K6R3H3i4@1f1%4i4@1p5@1i4@1u0m8i4@1g2r3i4@1u0o6i4K6W2m8

URL重定向
隐藏URL功能,如果浏览器地址栏包含推广号相关的字符串就不显示URL,来降低被发现的概率,如访问baidu.com被重定向到e8cK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2T1j5h3W2V1N6g2)9J5k6h3y4G2L8g2)9J5c8W2)9K6c8Y4c8F1i4K6y4p5x3o6t1H3x3o6x3K6z5e0m8Q4y4h3j5K6z5g2)9#2k6X3S2S2L8#2)9#2k6Y4m8Y4i4@1f1#2i4K6V1H3i4K6S2q4i4@1g2r3i4@1u0o6i4K6S2o6i4@1f1$3i4@1t1#2i4K6S2r3i4@1f1^5i4@1p5%4i4K6R3^5i4@1f1#2i4K6V1&6i4@1p5^5i4@1f1#2i4K6W2o6i4@1t1H3i4@1f1#2i4K6W2p5i4K6R3H3i4@1f1$3i4@1p5H3i4K6S2r3i4@1f1$3i4K6V1^5i4@1u0q4i4@1f1%4i4@1p5@1i4@1u0m8i4@1f1@1i4@1t1^5i4@1u0m8i4@1f1%4i4@1p5&6i4@1u0m8i4@1g2r3i4@1u0o6i4K6S2o6i4@1f1#2i4@1p5$3i4K6R3J5i4@1f1@1i4@1t1^5i4K6S2n7i4@1f1#2i4K6W2n7i4@1u0q4i4@1f1$3i4K6R3&6i4K6R3H3i4@1f1%4i4@1p5@1i4@1u0m8i4@1g2r3i4@1u0o6i4K6W2m8

隐藏URL
关键代码,如下图所示:

隐藏URL
根据配置信息修改浏览器启动页,关键代码,如下图所示:

设置浏览器启动页

二、附录

C&C服务器

HASH


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 1
支持
分享
最新回复 (1)
雪    币: 281
活跃值: (729)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
首页推广现在都是实名的吧,这也敢搞啊
2023-8-24 06:05
0
游客
登录 | 注册 方可回帖
返回