據外媒 The register 報道，最近網絡上出現了一種名為 ChromeLoader 的 Windows 惡意軟件，它會利用 PowerShell 向受害者的 Chrome 瀏覽器添加惡意擴展。該惡意 Chrome 擴展會通過在線廣告強制重定向用戶，從而為不法分子帶來收入。

該惡意軟件還存在 macOS 變體，它使用 Bash 來實現相同的目標，且以 Safari 為目標。安全公司 Red Canary 的工程師 Aedan Russell 在一篇博客中詳細介紹了該惡意軟件。

ChromeLoader 通過以 ISO 文件的形式分發，該文件看起來像種子文件或破解的視頻游戲。據 Red Canary 稱，它通過網站和 Twitter 等社交媒體，以鏈接或二維碼方式網絡傳播。

一旦被掃碼下載并執行，.ISO 文件就會被提取，并作為驅動安裝在受害者的機器上，從而獲得了對系統的初始訪問權限。

這個 ISO 中有一個用于安裝 ChromeLoader 的可執行文件，以及似乎是 Windows 任務計劃程序的 .NET 包裝器。這讓 ChromeLoader 在入侵之后能保持偽裝，保持其在受害者機器上的持久性。

ChromeLoader 使用計劃任務，但不通過 Windows 本機任務計劃程序 (schtasks.exe) 來執行此操作。相反，它通過跨進程注入服務主機 (svchost.exe) 并創建其計劃任務調度程序。

跨進程注入完成后，ChromeLoader 的定時任務會通過 svchost 執行，它調用命令解釋器(cmd.exe)，該命令解釋器執行包含多個聲明變量的 Base64 編碼的 PowerShell 命令。

隨后，ChromeLoader 開始使用 PowerShell 命令檢查是否安裝了 ChromeLoader 惡意擴展，如果沒有找到路徑，它就會使用 wget 遠程拉取文件并將內容加載為 Chrome 擴展程序。當 ChromeLoader 惡意擴展程序被安裝到 Chrome 中，就可以執行其真正的目標：強制修改受害者的搜索結果，將其重定向到惡意廣告站點。

ChromeLoader 還會在用戶嘗試刪除該擴展程序時進行重定向，強制用戶離開 Chrome 擴展程序頁面。

此外，由于其作為命令和腳本解釋器的能力，PowerShell 始終是惡意軟件的首選命令執行方法。

Aedan Russell 稱：“這是一種將惡意擴展加載到 Chrome 中的新方法，除了 ChromeLoader 之外，沒有其他已知的威脅行為在嘗試使用這種加載惡意瀏覽器擴展的 PowerShell 技術 “

” 但是，這種技術是有據可查的，它經常被開發人員使用。”

本文轉自OSCHINA

本文標題：Windows 惡意軟件通過 PowerShell 向 Chrome 注入惡意擴展

本文地址：https://www.oschina.net/news/197828/chromeloader-malware-powershell