New Google Chrome Malware with Sneaky Payload Steals User Credentials

恶意软件窃取镀铬凭据网络安全公司不断扫描在线环境,以发现可能使用户隐私受到威胁的新恶意软件威胁,并了解进行此类攻击的典型分布载体。最近,研究人员遇到了一种新的恶意软件,类似于其他已知的窃取威胁的凭据。然而,分析的样本似乎是独一无二的,不仅因为它专门针对谷歌Chrome浏览器,不像其他针对所有流行的互联网浏览器的已知威胁,而且还有它所使用的技术。这种新威胁不会被混淆,理论上应该被反恶意软件解决方案阻止。但是,在大多数情况下,防病毒软件甚至都没有检测到它,这对恶意软件分析师来说非常令人费解。

这种新的凭证收集工具的感染发生在基本滴管帮助下 。该dropper在当前路径中创建一个文件夹\ temp,大小约为6MB,并成为恶意软件的父文件夹。在这个新文件夹中,dropper创建一个名为“death.bat”的简单脚本,删除/ temp目录。然后,dropper在父文件夹中创建六个其他文件,其中包含五个DLL文件和一个名为“virus.exe”的二进制文件,它似乎正在使用cURL。研究人员指出,使用cURL的其他恶意软件威胁并不多,这使得新威胁非常有趣。此外,恶意软件的文件名是明确的,它不使用混淆或加密。填写父文件夹后,恶意软件会运行“virus.exe”二进制文件,而删除所有恶意软件痕迹的批处理脚本会在五秒后执行。接下来,弹出一个带有一般错误消息的消息框,看起来只是为了欺骗用户。

对恶意软件主要负载的分析表明,它对用户隐私构成了真正的威胁。 Google Chrome不仅会存储用户名和密码,还会存储信用卡数据。普通用户无需管理员权限即可访问浏览器存储凭据的Chrome文件,这反过来意味着恶意软件不需要使用权限提升工具来访问该文件。 Chrome凭据存储在SQLite数据库文件中。为了绕过浏览器的保护机制,恶意软件只会杀死某些Chrome进程,然后打开数据库文件,执行多个SQL查询并读取文件中包含的信息。之后,数据将被保存并通过cURL发送到恶意软件自己的Google表单。在这种情况下,免费的基于网络的应用程序Google Forms被攻击者误用于收集和存储被盗数据。

根据其运营流程,此新威胁无法识别为窃取Chrome凭据的任何已知恶意软件系列的成员。它非常聪明,安静,快速,它不会在磁盘上创建任何文件,也不会更改注册表,总体而言,不会对受感染的计算机造成任何损害。另一方面,它很难捕获,因为它使用cURL和Google Forms,并且它在任何情况下都会对用户隐私构成严重威胁,因为它会收集密码和信用卡号等敏感数据。

发表评论

请不要将此评论系统用于支持或结算问题。 若要获取SpyHunter技术支持,请通过SpyHunter打开技术支持问题直接联系我们的技术团队。 有关结算问题,请参考“结算问题?”页面。 有关一般查询(投诉,法律,媒体,营销,版权),请访问我们的"查询和反馈"页面。