详细内容或原文请订阅后点击阅览
通过Google Ads分发的Chrome Installer捆绑的链条
在从Google搜索下载Google Chrome之前,请注意,您可能会获得比预期的要多。
来源:Malwarebytes Labs 博客犯罪分子再次滥用Google广告来欺骗用户下载恶意软件。具有讽刺意味的是,这次诱饵是世界上最受欢迎的浏览器Google Chrome的恶意广告。
在欺诈性的Google网站页面上单击广告土地的受害者设计为中介门户网站,类似于我们今年早些时候看到的大型Google帐户网络钓鱼活动。
Google帐户网络钓鱼活动最终重定向最终下载了一个大型可执行性伪装为Google Chrome,它确实安装了上述,但也秘密地丢弃了称为Sectoprat的恶意软件有效载荷。
我们已向Google报告了此事件,但是在编写假Google站点页面时,仍在运行并运行。
发行:广告和Google站点组合
搜索“下载Google Chrome”时,我们确定了可疑广告。如果您查看赞助结果中嵌入的URL,您会注意到它显示“ https://sites.google.com”,这是Google的免费网站构建器。
下载Google Chrome https://sites.google.com虽然大多数托管的页面都是合法的,但很高兴记住它们是用户生成的,并且滥用是任何开放平台的一部分。这也是犯罪分子在构建假广告时巧妙地出现合法的一种方式。
恶意软件有效载荷
用户双击GoogleChrome.exe一旦伪造的Chrome Installer连接到HXXPS [://]启动appps [。] site/getCode [。] php并检索必要的说明。在下面,我们可以看到它要求如何作为管理员运行以执行需要此访问级别的某些操作。
googlechrome.exe hxxps [: //]启动apps [。] site/getCode [。] phpPowerShell命令为%AppData%\漫游目录添加了一个排除路径,以便在提取恶意软件有效负载时不会触发Windows Defender。
从hxxps [://]下载了一个加密的数据流[。
hxxps [: //]启动apps [。] site/3 [。] php?uuid = {} _UUID 解密。exe waterfox.exe Waterfox浏览器