通过Chrome浏览器上的受损网站交付的恶意软件可以绕过用户账户控制来感染系统并窃取敏感数据,如凭证和加密货币。
一个新发现的恶意软件活动背后的骗子正在针对Windows 10的恶意软件,它可以通过一种技术感染系统,巧妙地绕过Windows网络安全保护,整个过程称为用户帐户控制(UAC)。
来自Rapid7的研究人员最近发现了这个活动,并警告说,攻击者的目标是挤出敏感数据,并从目标受感染的PC中窃取加密货币。
Rapid7研究分析师Andrew Iwamaye表示,该恶意软件 “通过滥用Windows环境变量和本地计划任务,确保它持续以高权限执行”,在PC上保持持久性。
Iwamaye在周四发表的一篇博文中写道,当Chrome浏览器用户访问一个恶意网站,”浏览器广告服务 “提示用户采取某种行动时,攻击链就会启动。截至发稿时,关于研究人员认定的 “浏览器广告服务 “的询问尚未得到回复。
攻击目标。凭证和加密货币
攻击者的最终目标是使用信息窃取者恶意软件来获取数据,如浏览器凭证和加密货币。Iwamaye写道,其他恶意行为包括阻止浏览器更新,并为任意命令的执行创造成熟的系统条件。
研究人员发现,攻击者正在使用一个专门制作的受损网站,利用Chrome浏览器的一个版本(在Windows 10上运行)来传递恶意的有效载荷。Iwamaye写道:对受感染用户的Chrome浏览器历史文件的调查显示,在最初感染之前,用户被重定向到一些可疑的域和其他不寻常的重定向链。
他写道:”在第一次调查中,用户的Chrome浏览器档案显示,就在重定向之前,一个可疑的域名birchlerarroyo[.com]的网站权限设置被改变了。具体来说,用户授权托管在birchlerarroyo[.]com的网站向用户发送通知。”
经过进一步分析,研究人员发现,birchlerarroyo[.]com提出了一个浏览器通知,请求允许向用户显示通知。Iwamaye说,这一点以及在其源代码中提到的一个可疑的JavaScript文件,使Rapid7团队怀疑它已经被入侵了。
研究显示,目前还不清楚为什么或如何哄骗用户允许该网站通过Chrome浏览器发送通知请求。然而,一旦允许通知,浏览器用户就会被提醒,他们的Chrome网络浏览器需要更新。然后,他们被转发到一个 “令人信服的Chrome-update主题网页”。
披着羊皮的恶意Windows应用程序
恶意的Chrome浏览器更新链接到一个名为MSIX类型文件的Windows应用程序包。MSIX的文件名是 “oelgfertgokejrgre.msix”,托管在一个域名chrisupdate[.]com。Rapid7研究人员确认文件是一个Windows应用程序包。
了解恶意的有效载荷是一个Windows应用程序文件的事实很重要,有几个原因。
“我们在这篇博文中总结的恶意软件处理有几个诀窍。它通过广告服务作为Windows应用程序的交付机制(不会留下典型的基于网络的下载取证文物),Windows应用程序的安装路径,以及通过操纵环境变量和本地计划任务的UAC绕过技术,可以不被各种安全解决方案或甚至经验丰富的SOC分析师所发现。”Iwamaye写道。
该研究人员进一步解释。
该研究人员写道:”由于MSIX文件安装的恶意Windows应用程序包没有在微软商店中托管,因此会出现一个提示,如果尚未启用,则启用侧载应用程序的安装,以允许安装来自非官方来源的应用程序。
一旦进入,攻击就开始了
如果恶意的Chrome浏览器更新被执行,机器就会被感染,攻击开始。
攻击的第一阶段涉及一个由名为HoxLuSfo.exe的可执行文件催生的PowerShell命令,该文件本身由sihost.exe催生,后者是一个后台进程,用于启动和维护Windows行动和通知中心。
该命令的目的是执行磁盘清理工具UAC分流,这是因为 “某些版本的Windows 10存在漏洞,允许本地计划任务通过修改环境变量的内容执行任意代码”,Iwamaye写道。
具体来说,PowerShell命令通过改变环境变量%windir%的设置值,在 “SilentCleanup “计划任务中指定的路径中利用了该环境变量。该命令删除了现有的%windir%环境变量,取而代之的是一个新的环境变量,设置为。%LOCALAPPDATA%Microsoft\OneDrive\setup\st.exe REM。
然后配置预定任务 “SilentCleanup”,每当任务 “SilentCleanup “被触发时就执行以下命令:%LOCALAPPDATA%\Microsoft\OneDrive\setup\st.exe REM\system32\cleanmgr.exe /autoclean /d %systemdrive%。
Iwamaye写道,这个过程允许PowerShell命令劫持 “SilentCleanup “计划任务,以运行所需的可执行文件–在这种情况下,HoxLuSfo.exe和st.exe,后者具有优先的权限。
有效载荷操作
研究人员无法从他们分析的样本中检索到有效载荷文件,因为他们在调查时已经不存在了。然而,他们使用来自VirusTotal的样本来窥视引擎盖下的情况。
他们发现的是,HoxLuSfo.exe是一个32位的微软Visual Studio .NET可执行文件,包含混淆的代码,可以修改受感染资产上的hosts文件,以避免正确解决常见的浏览器更新URL,Iwamaye写道。
他写道,该有效载荷还列举了已安装的浏览器,并从已安装的浏览器中窃取凭证;终止Google进程、MicrosoftEdge和setu的进程;并包括窃取加密货币以及在受感染资产上执行任意命令的功能。
研究人员在帖子中既提供了对该活动的详细取证分析,也提供了一份全面的受损指标清单,以帮助用户预防和减轻攻击。
请查看我们即将举行的免费在线直播和点播市政厅–与网络安全专家和Threatpost社区进行独特的动态讨论。
