New Google Chrome Malware with Sneaky Payload Steals User Credentials

惡意軟件竊取鍍鉻憑據網絡安全公司不斷掃描在線環境,以發現可能使用戶隱私受到威脅的新惡意軟件威脅,並了解進行此類攻擊的典型分佈載體。最近,研究人員遇到了一種新的惡意軟件,類似於其他已知的竊取威脅的憑據。然而,分析的樣本似乎是獨一無二的,不僅因為它專門針對谷歌Chrome瀏覽器,不像其他針對所有流行的互聯網瀏覽器的已知威脅,而且還有它所使用的技術。這種新威脅不會被混淆,理論上應該被反惡意軟件解決方案阻止。但是,在大多數情況下,防病毒軟件甚至都沒有檢測到它,這對惡意軟件分析師來說非常令人費解。

這種新的憑證收集工具的感染髮生在基本滴管幫助下 。該dropper在當前路徑中創建一個文件夾\ temp,大小約為6MB,並成為惡意軟件的父文件夾。在這個新文件夾中,dropper創建一個名為“death.bat”的簡單腳本,刪除/ temp目錄。然後,dropper在父文件夾中創建六個其他文件,其中包含五個DLL文件和一個名為“virus.exe”的二進製文件,它似乎正在使用cURL。研究人員指出,使用cURL的其他惡意軟件威脅並不多,這使得新威脅非常有趣。此外,惡意軟件的文件名是明確的,它不使用混淆或加密。填寫父文件夾後,惡意軟件會運行“virus.exe”二進製文件,而刪除所有惡意軟件痕蹟的批處理腳本會在五秒後執行。接下來,彈出一個帶有一般錯誤消息的消息框,看起來只是為了欺騙用戶。

對惡意軟件主要負載的分析表明,它對用戶隱私構成了真正的威脅。 Google Chrome不僅會存儲用戶名和密碼,還會存儲信用卡數據。普通用戶無需管理員權限即可訪問瀏覽器存儲憑據的Chrome文件,這反過來意味著惡意軟件不需要使用權限提升工具來訪問該文件。 Chrome憑據存儲在SQLite數據庫文件中。為了繞過瀏覽器的保護機制,惡意軟件只會殺死某些Chrome進程,然後打開數據庫文件,執行多個SQL查詢並讀取文件中包含的信息。之後,數據將被保存並通過cURL發送到惡意軟件自己的Google表單。在這種情況下,免費的基於網絡的應用程序Google Forms被攻擊者誤用於收集和存儲被盜數據。

根據其運營流程,此新威脅無法識別為竊取Chrome憑據的任何已知惡意軟件系列的成員。它非常聰明,安靜,快速,它不會在磁盤上創建任何文件,也不會更改註冊表,總體而言,不會對受感染的計算機造成任何損害。另一方面,它很難捕獲,因為它使用cURL和Google Forms,並且它在任何情況下都會對用戶隱私構成嚴重威脅,因為它會收集密碼和信用卡號等敏感數據。

發表評論

請不要將此評論系統用於支持或結算問題。 若要獲取SpyHunter技術支持,請通過SpyHunter打開技術支持問題直接聯繫我們的技術團隊。 有關結算問題,請參考“結算問題?”頁面。 有關一般查詢(投訴、法律、媒體、營銷、版權),請訪問我們的“查詢和反饋”頁面。