黑客利用软件盒子和海量软件管家传播恶意Chrome重打包

Technical Blog 3months ago Dexnav

0 456

黑客Use软件盒子.海量软件管家传播恶意Chrome重打包

近期有黑客团伙伪造了带毒的Chrome浏览器，上传至“软件盒子”、“海量软件管家”等软件进行大量传播。病毒运行后会执行篡改Browser启动页, ,新标签页等恶意行为。

用户运行上述盗版 Chrome 浏览器安装包之后，被黑客篡改过 chrome.dll 文件会立即请求服务器配置，随后黑客便可执行篡改浏览器启动页，新标签页，以及URL重定向，隐藏URL等恶意行为，该病毒的执行流程图如下：黑客利用软件盒子和海量软件管家传播恶意Chrome重打包

建议用户选择官方渠道下载软件，安装可信安全软件保护设备免受恶意威胁。

一、样本分析

被篡改的文件主要为chrome.dll，当Chrome浏览器启动后，chrome.dll会被加载，首先会解密出C&C服务器地址，并从C&C服务器获取配置文件地址，相关代码，如下图所示：

获取配置文件并解析配置信息，相关代码，如下图所示：

解密后的配置信息，一些重要的字段，如下图所示：

重要字段说明，如下图所示：

接收到配置信息后，根据配置信息来执行一些恶意行为有：修改启动页、新标签页、URL重定向、隐藏URL，下面进行详细说明。

URL重定向功能，根据服务器下发的正则表达式，将匹配上的URL重定向到指定网址进行推广，如访问baidu.com会被重定位到https://www.baidu.com/?tn=02003390_39_hao_pg，关键代码，如下图所示：

隐藏URL功能，如果浏览器地址栏包含推广号相关的字符串就不显示URL，来降低被发现的概率，如访问baidu.com被重定向到https://www.baidu.com/?tn=02003390_39_hao_pg后，浏览器地址栏显示为空，如下图所示：

关键代码，如下图所示：

根据配置信息修改浏览器启动页，关键代码，如下图所示：

二、附录

开发联系：DEXDAO

chrome.dll文件 Chrome浏览器伪造启动页恶意Chrome重打包新标签页服务器配置海量软件管家病毒篡改软件盒子黑客

Copyrights:Dexnav Posted on 2023年9月21日 pm7:48。
Please specify source if reproduced黑客利用软件盒子和海量软件管家传播恶意Chrome重打包 | Dexnav 区块链导航网

Solidity 教程 - 视图函数、虚函数讲解

Dexnav

284

在Metamask钱包中添加测试网络：为DApp连接测试网络做好准备

Dexnav

The combination of blockchain and AI: future business opportunities and trends

Dexnav

投资者必备的5个加密货币工具

Dexnav

理解以太坊ABI：应用程序二进制接口

Dexnav

362

智能合约语言 Solidity 教程 - 函数调用

Dexnav

412

No comments

No comments...

黑客利用软件盒子和海量软件管家传播恶意Chrome重打包

黑客Use软件盒子.海量软件管家传播恶意Chrome重打包

一、样本分析

二、附录

轻松利用固定ID找到目标帐号

OSINT--加密货币溯源方法

Related posts

No comments

Popular sites

Latest Articles

Related articles

Hot Tags