捆綁激活工具的惡意插件預警

2019-06-21 41579人圍觀 ,發現 1 個不明物體 終端安全

近日,亞信安全截獲一款惡意插件的安裝包程序,該安裝包程序通常與激活工具、綠色軟件等捆綁在一起,一旦用戶運行這些捆綁惡意插件的激活工具或者綠色軟件,這些惡意的插件在用戶不知情的情況下安裝在瀏覽器中,劫持用戶的瀏覽器。雖然目前沒有發現通過此方法傳播勒索病毒和挖礦病毒,但只要修改源代碼,就可以輕易傳播任意惡意軟件。亞信安全將此類惡意插件命名為PUA.Win32.BangMai.AC。

攻擊流程

詳細分析

惡意插件安裝包文件運行后,會在C:\Windows\Help\IBM目錄釋放惡意插件文件,其中包括“天馨氣象”和“星馳天氣助手”等插件。通過修改注冊表鍵值的方式關閉UAC(User Account Control)和設置自啟動項。

其中XCExtent.exe和TxExtent.exe分別對應“星馳天氣助手”和“天馨氣象”插件,他們會安裝到Chrome瀏覽器的擴展程序中。

通過逆向我們看到這個病毒在自己的工程里稱為“流氓鏡像快馬”。惡意程序PDB路徑,如下圖所示:

此病毒也同樣會劫持IE瀏覽器,為其安裝BHO插件:

Chrome插件分析

根據插件配置信息,該插件邏輯分為3個部分,包括config.js、backgroud.js和l.js腳本文件。其中config.js是該插件的配置信息,包括C&C服務器地址和channelID,通過我們不同的測試,該channelID是變化的,可能會根據其ID進行不同的惡意行為:

Config.js代碼內容

l.js是Content_Scripts腳本,Content_Scripts是谷歌瀏覽器Chrome擴展程序開發中常用到功能,該惡意插件可以通過此腳本截獲所有的網絡請求,在每個響應后添加遠程惡意JS腳本:

l.js代碼內容

IE插件分析

此惡意軟件也會劫持IE瀏覽器,其中存放在C:\Windows\Help\IBM文件夾下的txweather_x64.dll和txweather_x86.dll是用于劫持IE瀏覽器的BHO插件。BHO插件是IE瀏覽器輔助插件,可對IE瀏覽器的界面和訪問內容進行修改操作。

只要安裝上此插件,所有使用IE訪問的頁面都會被插入惡意的JS腳本,通過訪問www[.]xxfqxxx.com/xxxx實現,目前該域名已經無法訪問。

IE訪問頁面插入的惡意腳本內容

風險分析

通過安裝惡意的插件劫持瀏覽器,可能會存在如下風險:

安裝惡意軟件,如勒索病毒,挖礦病毒等(風險性較高);

進行惡意推廣;

在訪問的網頁中插入懸浮廣告;

在瀏覽器上安裝軟件時可能會被替換成插件提供的安裝包。

解決方案

安裝正版軟件,不使用激活工具等程序;

從正規網站下載軟件;

采用高強度的密碼,避免使用弱口令密碼,并定期更換密碼;

打開系統自動更新,并檢測更新進行安裝。

*本文作者:亞信安全,轉載請注明來自FreeBuf.COM

發表評論

已有 1 條評論

取消
Loading...

特別推薦

推薦關注

填寫個人信息

姓名
電話
郵箱
公司
行業
職位
css.php 重庆百变王牌走势图