New Google Chrome Malware with Sneaky Payload Steals User Credentials

网络安全公司不断扫描在线环境，以发现可能使用户隐私受到威胁的新恶意软件威胁，并了解进行此类攻击的典型分布载体。最近，研究人员遇到了一种新的恶意软件，类似于其他已知的窃取威胁的凭据。然而，分析的样本似乎是独一无二的，不仅因为它专门针对谷歌Chrome浏览器，不像其他针对所有流行的互联网浏览器的已知威胁，而且还有它所使用的技术。这种新威胁不会被混淆，理论上应该被反恶意软件解决方案阻止。但是，在大多数情况下，防病毒软件甚至都没有检测到它，这对恶意软件分析师来说非常令人费解。

这种新的凭证收集工具的感染发生在基本滴管的帮助下 。该dropper在当前路径中创建一个文件夹\ temp，大小约为6MB，并成为恶意软件的父文件夹。在这个新文件夹中，dropper创建一个名为"death.bat"的简单脚本，删除/ temp目录。然后，dropper在父文件夹中创建六个其他文件，其中包含五个DLL文件和一个名为"virus.exe"的二进制文件，它似乎正在使用cURL。研究人员指出，使用cURL的其他恶意软件威胁并不多，这使得新威胁非常有趣。此外，恶意软件的文件名是明确的，它不使用混淆或加密。填写父文件夹后，恶意软件会运行"virus.exe"二进制文件，而删除所有恶意软件痕迹的批处理脚本会在五秒后执行。接下来，弹出一个带有一般错误消息的消息框，看起来只是为了欺骗用户。

对恶意软件主要负载的分析表明，它对用户隐私构成了真正的威胁。 Google Chrome不仅会存储用户名和密码，还会存储信用卡数据。普通用户无需管理员权限即可访问浏览器存储凭据的Chrome文件，这反过来意味着恶意软件不需要使用权限提升工具来访问该文件。 Chrome凭据存储在SQLite数据库文件中。为了绕过浏览器的保护机制，恶意软件只会杀死某些Chrome进程，然后打开数据库文件，执行多个SQL查询并读取文件中包含的信息。之后，数据将被保存并通过cURL发送到恶意软件自己的Google表单。在这种情况下，免费的基于网络的应用程序Google Forms被攻击者误用于收集和存储被盗数据。

根据其运营流程，此新威胁无法识别为窃取Chrome凭据的任何已知恶意软件系列的成员。它非常聪明，安静，快速，它不会在磁盘上创建任何文件，也不会更改注册表，总体而言，不会对受感染的计算机造成任何损害。另一方面，它很难捕获，因为它使用cURL和Google Forms，并且它在任何情况下都会对用户隐私构成严重威胁，因为它会收集密码和信用卡号等敏感数据。