New Google Chrome Malware with Sneaky Payload Steals User Credentials

網絡安全公司不斷掃描在線環境，以發現可能使用戶隱私受到威脅的新惡意軟件威脅，並了解進行此類攻擊的典型分佈載體。最近，研究人員遇到了一種新的惡意軟件，類似於其他已知的竊取威脅的憑據。然而，分析的樣本似乎是獨一無二的，不僅因為它專門針對谷歌Chrome瀏覽器，不像其他針對所有流行的互聯網瀏覽器的已知威脅，而且還有它所使用的技術。這種新威脅不會被混淆，理論上應該被反惡意軟件解決方案阻止。但是，在大多數情況下，防病毒軟件甚至都沒有檢測到它，這對惡意軟件分析師來說非常令人費解。

這種新的憑證收集工具的感染髮生在基本滴管的幫助下 。該dropper在當前路徑中創建一個文件夾\ temp，大小約為6MB，並成為惡意軟件的父文件夾。在這個新文件夾中，dropper創建一個名為"death.bat"的簡單腳本，刪除/ temp目錄。然後，dropper在父文件夾中創建六個其他文件，其中包含五個DLL文件和一個名為"virus.exe"的二進製文件，它似乎正在使用cURL。研究人員指出，使用cURL的其他惡意軟件威脅並不多，這使得新威脅非常有趣。此外，惡意軟件的文件名是明確的，它不使用混淆或加密。填寫父文件夾後，惡意軟件會運行"virus.exe"二進製文件，而刪除所有惡意軟件痕蹟的批處理腳本會在五秒後執行。接下來，彈出一個帶有一般錯誤消息的消息框，看起來只是為了欺騙用戶。

對惡意軟件主要負載的分析表明，它對用戶隱私構成了真正的威脅。 Google Chrome不僅會存儲用戶名和密碼，還會存儲信用卡數據。普通用戶無需管理員權限即可訪問瀏覽器存儲憑據的Chrome文件，這反過來意味著惡意軟件不需要使用權限提升工具來訪問該文件。 Chrome憑據存儲在SQLite數據庫文件中。為了繞過瀏覽器的保護機制，惡意軟件只會殺死某些Chrome進程，然後打開數據庫文件，執行多個SQL查詢並讀取文件中包含的信息。之後，數據將被保存並通過cURL發送到惡意軟件自己的Google表單。在這種情況下，免費的基於網絡的應用程序Google Forms被攻擊者誤用於收集和存儲被盜數據。

根據其運營流程，此新威脅無法識別為竊取Chrome憑據的任何已知惡意軟件系列的成員。它非常聰明，安靜，快速，它不會在磁盤上創建任何文件，也不會更改註冊表，總體而言，不會對受感染的計算機造成任何損害。另一方面，它很難捕獲，因為它使用cURL和Google Forms，並且它在任何情況下都會對用戶隱私構成嚴重威脅，因為它會收集密碼和信用卡號等敏感數據。