火绒安全软件

火绒安全播报
发新帖
打印 上一主题 下一主题

[分析报告] 黑客恶意重打包Chrome 通过“软件盒子”、“海量软件管家...

[复制链接]
1041 5
楼主
发表于 2023-8-23 17:57:04 | 只看该作者 |只看大图 |倒序浏览 |阅读模式
跳转到指定楼层
近期,火绒威胁情报系统监测到,有黑客团伙伪造了带毒的Chrome浏览器,上传至“软件盒子”、“海量软件管家”等软件进行大量传播。病毒运行后会执行篡改浏览器启动页、新标签页等恶意行为。
海量软件管家


用户运行上述盗版 Chrome 浏览器安装包之后,被黑客篡改过 chrome.dll 文件会立即请求服务器配置,随后黑客便可执行篡改浏览器启动页,新标签页,以及URL重定向,隐藏URL等恶意行为,该病毒的执行流程图如下:
执行流程图


在此,火绒工程师建议广大用户在下载软件时,尽量选择官方或正规可信的应用商店,并安装可靠的安全软件以保护设备免受恶意软件和病毒的侵害。目前,火绒安全产品可对上述病毒进行拦截查杀,请用户及时更新病毒库以进行防御。
  查杀图


一、样本分析
被篡改的文件主要为chrome.dll,当Chrome浏览器启动后,chrome.dll会被加载,首先会解密出C&C服务器地址,并从C&C服务器获取配置文件地址,相关代码,如下图所示:
获取配置文件地址


获取配置文件并解析配置信息,相关代码,如下图所示:
获取、解密配置文件


解密后的配置信息,一些重要的字段,如下图所示:
配置信息重要字段


重要字段说明,如下图所示:
重要说明


接收到配置信息后,根据配置信息来执行一些恶意行为有:修改启动页、新标签页、URL重定向、隐藏URL,下面进行详细说明。


URL重定向功能,根据服务器下发的正则表达式,将匹配上的URL重定向到指定网址进行推广,如访问baidu.com会被重定位到https://www.baidu.com/?tn=02003390_39_hao_pg,关键代码,如下图所示:
URL重定向


隐藏URL功能,如果浏览器地址栏包含推广号相关的字符串就不显示URL,来降低被发现的概率,如访问baidu.com被重定向到https://www.baidu.com/?tn=02003390_39_hao_pg后,浏览器地址栏显示为空,如下图所示:
隐藏URL


关键代码,如下图所示:
隐藏URL


根据配置信息修改浏览器启动页,关键代码,如下图所示:
设置浏览器启动页


二、附录
C&C服务器

HASH

评分

参与人数 1金钱 +5 收起 理由
苏辞辞去 + 5 谢谢楼主分享!!

查看全部评分

回复

使用道具 举报

1041 5
沙发
发表于 2023-8-24 14:32:54 | 只看该作者
从来不在这种渠道下载软件
回复

使用道具 举报

1041 5
板凳
发表于 2023-8-24 17:34:07 | 只看该作者
看不懂
回复

使用道具 举报

1041 5
地板
发表于 2023-8-26 14:02:21 | 只看该作者
直接到官网下载不就行啦
回复

使用道具 举报

1041 5
5#
发表于 2023-8-27 18:05:45 | 只看该作者
化悲痛为力量 发表于 2023-8-26 14:02
直接到官网下载不就行啦

有的懒人或者不会找官网的就会在这种地方下载
回复

使用道具 举报

1041 5
6#
发表于 2023-8-31 17:34:50 | 只看该作者
一定要用官网,不用官网就用虚拟机先测试,无毒再用物理机使用
回复

使用道具 举报

您需要登录后才可以回帖 登录 | [立即注册]

本版积分规则

快速回复 返回顶部 返回列表