ChromeLoader 正在通过识破游戏进行传播

发布时间：2023-03-06 14:17:57 所属栏目：安全来源：

导读： 因为微软默认禁用了互联网下载文件的宏代码，攻击者在恶意软件分发中开始越来越多地使用磁盘镜像文件（如 ISO 和 VHD）。近期，研究人员发现攻击者在利用 VHD 文件分发 ChromeLoader。从文件名来看，攻击者将恶

因为微软默认禁用了互联网下载文件的宏代码，攻击者在恶意软件分发中开始越来越多地使用磁盘镜像文件（如 ISO 和 VHD）。近期，研究人员发现攻击者在利用 VHD 文件分发 ChromeLoader。从文件名来看，攻击者将恶意软件伪装到任天堂和 Steam 游戏的破解版中。

分发的文件名

利用文件名在 Google 上进行检索，可以发现多个分发恶意软件的网站。其中都部署了大量的破解版游戏与破解版付费应用程序，不论哪个平台,你从哪个站点下载的违法软件都会受到感染。

files.zip 文件中包含良性文件和与node-webkit(nw.js) 相关的恶意 JavaScript 文件（注：node-webkit 是一个使用 Chromium 和 Node.js 的网络应用程序。），通过 nw.exe 运行并引用 package.json 文件中写入的数据进行加载。

properties.bat 运行 data.ini 文件与解压后生成的 videos.exe 文件。前者为 VBS 脚本，会在 %AppData%\Microsoft\Windows\Start Menu\Programs\Startup\ 中创建 videos.exe 的快捷方式。

videos.exe 文件里有 nw.exe 文件，可以引用 package.json 来运行 main 函数指定的脚本文件。本例中指定的是 start.html 文件，其中包含混淆后的恶意 JavaScript 文件。

最终，videos.exe 文件会执行 start.html 中的恶意 JavaScript 代码。下载 ChromeLoader。ChromeLoader 是一种通过 Chrome 扩展程序执行恶意行为的广告类恶意软件，也可以窃取浏览器凭据并篡改浏览器设置。

总结
最近，使用磁盘镜像文件的恶意软件有所增加，攻击者也常常将恶意软件伪装成破解游戏和破解程序。用户在执行从未知来源下载的文件时，必须格外小心。安全研究员推荐使用者下载此套系统官方网站。

（编辑：驾考网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!