在Windows平台上,该恶意病毒会使用PowerShell向受害者的Chrome浏览器添加恶意扩展;在macOS平台上,它使用Bash向Safari发起相同的攻击。RedCanary的检测工程师AedanRussell在博文中详细介绍了该恶意程序。
ChromeLoader注入的恶意扩展程序一旦添加到受害者的浏览器中,就会通过在线广告重定向用户,从而为不法分子带来收入。Russell告诉TheRegister,WindowsChromeLoader使用PowerShell插入更多恶意Chrome扩展程序的情况并不常见。
Russell表示:
ChromeLoader的开发人员已经找到了一种通过使用Chrome的合法开发人员命令行参数来收集广告收入的有效方法。
通过PowerShell加载Web浏览器扩展程序(并且默默地这样做)显示出高于标准的隐蔽性,因为其他恶意浏览器扩展程序通常是通过诱骗用户公开安装它们来引入的,通常伪装成合法的浏览器扩展程序。
ChromeLoader通过以ISO文件的形式分发,该文件看起来像种子文件或破解的视频游戏,从而获得了对系统的初始访问权限。据RedCanary称,它通过按安装付费的网站和Twitter等社交媒体网络传播。
来源:
转载请注明:http://www.0431gb208.com/sjslczl/580.html
