7月29日，趋势科技发布了一份报告，揭露了在Google Play应用商店内的一系列银行类恶意软件活动。 报告主要分析了17款伪装成生产力工具和实用应用程序的滴管应用程序，它们被统称为DawDropper。根据报告描述，这17款应用包括了文档扫描仪、VPN 服务、二维码阅读器和通话记录器等多种类型，共携带了四个银行木马系列，包括 Octo、Hydra、Ermac和TeaBot。它们都使用第三方云服务 Firebase Realtime Database 来逃避检测并动态获取有效载荷下载地址，并在 GitHub 上托管恶意有效载荷。 2021 年 3 月，趋势科技还发现了另一个名为Clast82的dropper，DawDropper 和 Clast82 都使用 Firebase 实时数据库作为 C&C 服务器。 研究人员指出，这类银行Drop恶意软件采用自己的分发和安装技术。比如在今年年初就观察到了带有硬编码的有效载荷下载地址的版本，而最新观察到版本能隐藏实际有效载荷的下载地址，有时还使用第三方服务作为其 C&C 服务器。 截至报告发布时，这些恶意应用程序已从 Google Play 中移除。但报告指出，网络犯罪分子一直在寻找逃避检测和感染尽可能多设备的方法。在半年的时间里已经看到银行木马如何改进其技术以避免被检测，例如将恶意负载隐藏在 Dropper 中。随着越来越多的银行木马通过 DaaS 提供，攻击者将有一种更简单、更经济高效的方式来分发伪装成合法应用程序的恶意软件。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/340693.html 封面来源于网络，如有侵权请联系删除

2012年7月26日，谷歌将Android Market重新命名，变为如今大家耳熟能详的Google Play。作为整个安卓系统最重要、最为官方的应用下载市场，10年来，Google Play已经服务了来自全球190多个国家地区的25亿用户。但正所谓树大招风，Google Play也早已被众多恶意软件盯上，成为它们的集散中心。 为庆祝Google Play十周年，谷歌设计了新的标志 近两年，Google Play恶意软件泛滥的问题已经引起了越来越多安全机构的注意，根据2020年的一项调查研究，Google Play直接被确认为是安卓设备上安装恶意软件的主要来源。研究人员通过对790万款独立应用所涉及的3400万个APK分析，发现有10%到24%可以被描述为恶意或不需要的应用软件。研究人员还特别研究了这些软件的来源路径，结果显示，大约67%的恶意应用软件安装来自Google Play。 由于Google Play恶意软件问题越发严峻，安全事件频出，FreeBuf曾在近期做过多次专门报道： Facestealer 今年5月，趋势科技揭露了一款名为Facestealer的间谍软件，该软件自去年7月被俄罗斯安全厂商Doctor Web发现以来，通过变换马甲，伪装成超200款应用渗透进Google Play，其中VPN类应用占比最高，达42款，其次是拍照类应用（20款）及照片编辑类应用（13款）。 Facestealer的目的是窃取用户 Facebook账户的敏感信息 ，当用户登录 Facebook账户后，恶意软件会搜集Cookie，并加密发送至攻击者所在的远程服务器。 Facestealer请求用户登录 Facebook Autolycos 同样是去年，网络安全公司Evina的研究人员注意到一款名为Autolycos的恶意软件，根据批露，有8款软件内含Autolycos，累计下载次数超过了300万次。作为一种新型的恶意软件，Autolycos能够执行隐蔽的恶意行为，如在远程浏览器上执行 URL，然后将结果纳入到 HTTP 请求中，而不是使用 Webview。这种方式旨在使其行为变得更加隐蔽，也不会被受感染设备的防护措施检测到。 伪装成相机应用的Autolycos Joker Joker与Google Play的羁绊可谓最久，这是一款向用户恶意订阅由攻击者控制的高级付费服务的恶意软件，自2017年问世以来现身频繁。去年底，Joker被曝附身于一款名为Color Message的短信App内，下载次数达到了50万次，并在用户神不知鬼不觉的情况下订阅了昂贵的云计算服务。此外，它还会访问用户联系人信息，并将信息发送至由攻击者控制的境外服务器。 下载量达50万次的Color Message 最近，网络安全公司Zscaler又在Google Play发现了53款含有Joker的应用软件，累计下载次数超过了33万次。这些应用一般通过冒充短信、照片编辑器、血压计、表情符号键盘和翻译应用程序的形式出现，一旦用户安装后，应用程序又要求提升设备的权限来进行其它操作。 部分含有Joker的恶意软件 道高一尺魔高一丈 其实官方应用市场时不时冒出恶意软件并不是什么新鲜事，哪怕是相对封闭的苹果macOS与iOS系统有时也会为之困扰，据 Apple Insider 的统计，2022 年迄今已发现超过 3400 万个新的恶意软件样本，其中macOS为 2000 个，而安卓系统则达到了53.6万个，可见基于安卓系统自身的开放性，恶意软件的防范难度远非macOS与iOS能够比拟。 在上传至Google Play时，这些恶意软件可通过轻量化的代码，伪装、克隆成合法正常的应用程序，以欺骗Google Play的安全防御检测，即使当受害首次下载安装时也看不出任何端倪，而一旦获取了用户设备相应的权限，这些恶意软件才逐渐浮现出庐山真面目——比如通过Dropper（滴管）技术，在受害者设备上逐步部署带有恶意功能的有效载荷。 为了尽可能多地持续性绕过检测，这些恶意软件也会不断升级优化，也会善于利用通用工具进行混淆，比如Joker曾利用由谷歌设计的开源应用开发工具包Flutter来逃避基于设备和应用商店的安全检测，它能允许开发者从一个代码库中为移动端、网络端和桌面端制作本地应用。由于Flutter的通用性，恶意软件代码也可以轻松绕过检查。 面对恶意软件泛滥，谷歌表示，仅在2021年就封禁了 190000 个恶意和垃圾邮件开发者账户，120 万款违反 Google Play 政策的应用被删除，但这并不表示这些删除都是及时的。如前文所述，去年6月，网络安全公司Evina发现了8款内含Autolycos的恶意软件，并随即向谷歌做了汇报，但谷歌花了长达约半年的时间才删除了其中的 6 款软件，另外两款直到今年7月初才被删除。正是由于许多恶意软件仍需要安全公司甚至用户主动发现并上报，再经过谷歌一定时间的审核确认，导致不少恶意软件在被删除前已被下载了数万次，在这期间，攻击者可能已或多或少达成了他们的目的。 对于主要依靠事后删除这种治标不治本的做法，谷歌也尝试过扩大其检测和防御手段，但这些恶意软件的更新迭代也在不断加快，总能找到空子趁机溜入。今年4月，谷歌通过了一系列新的开发策略，要求自 2022 年 11 月 1 日起，所有新发布的应用程序必须对标最新Android系统版本发布后一年之内与之相匹配的API 级别，否则将不得上架Google Play；而现有应用若两年内未对标相应API级别，则会被Google Play移除。 新发布应用的 API 级别定位要求 这一变化旨在要求应用程序开发人员采用更严格的 API 策略来支持较新的 Android 版本，以针对目前的安全威胁，获得更好的权限管理和撤销、通知反劫持、数据隐私增强、网络钓鱼检测、屏幕启动限制等功能。 另外一项政策便是收紧了“REQUEST_INSTALL_PACKAGES”权限，以针对一些应用在上架Google Play时通过提交看似正常的代码骗过审核，并在被下载后部署恶意模块。该政策已于7 月 正式生效，适用于所有使用 API 级别为 25 (Android 7.1) 及更高版本的应用，使用此权限的应用程序在安装或更新时仅能获取经过数字签名的数据包，且不得执行自我更新、修改或在文件中捆绑其他 APK的操作。 这些政策能给谷歌防范恶意软件带来多大帮助目前还不得而知，但有一点可以肯定，恶意软件如同经久不衰的DDoS以及APT攻击，攻击者总能找到突破口实施入侵。对于Google Play，谷歌所要做的就是尽可能地快人一步，不断升级安全措施，及时发现并阻止恶意软件，尽量减小它们对用户构成的威胁。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/336663.html 封面来源于网络，如有侵权请联系删除

专家们于当地时间周三告诉美国众议院情报委员会，政府和科技行业必须合作以保护美国公民不被像Pegasus这样的商业间谍软件盯上。该软件于去年被揭露感染了许多政府官员、人权活动家、记者和其他人的iPhone。 在这场罕见的公开听证会上，委员会听取了公民实验室高级研究员John Scott-Railton、Google威胁分析小组主任Shane Huntley和Carine Kanimba的证词，后者是一名活动人士，其手机被PegASUS间谍软件锁定。 Kanimba是人权活动家Paul Rusesabagina的女儿，他在卢旺达种族灭绝期间为拯救1000多名难民的生命所做的努力被记录在了电影《卢旺达旅馆》中。他是该国政府的公开反对者，去年在他的家人所说的虚假审判之后，他被判定为跟恐怖主义有关的指控并被监禁在卢旺达。美国政府认为Rusesabagina遭到了错误的拘留。 正在努力使其父亲获得自由的Kanimba表示，去年她被一群记者提醒她的手机可能感染了Pegasus病毒。法医后来证实了这些猜测。她表示，她毫不怀疑卢旺达政府是监视的幕后黑手，她仍对政府下一步可能采取的行动感到恐惧。 她告诉委员会：“他们知道我在做的一切，我在哪里，我和谁说话，我的私人想法和行动，这让我一直保持清醒。除非对滥用这种技术的国家和他们的帮凶有后果，否则我们都不安全。” 网络安全专家称Pegasus是目前商业上最复杂的监控间谍软件之一。它使用“零点击”的漏洞，这意味着它可以感染目标手机而无需用户主动去做诸如点击恶意链接或下载附件的事情。 Citizen Labs的Scott-Railton作证说道：“不是坐在咖啡馆里，连接到不安全的Wi-Fi。你的手机可能在凌晨两点放在你的床头柜上。前一分钟你的手机还是干净的，下一分钟数据就默默地流向一个大陆之外的对手。而你发觉不了任何东西。” 这种通过短信传递的间谍软件以iPhone为目标，其允许使用它的人悄悄地访问从设备的通话和短信到加密的聊天记录和设备的摄像头等一切信息。此后，苹果修补了这个被利用的软件漏洞。 Scott-Railton表示，虽然NSO可能已经将间谍软件卖给了世界各地的数百个政府，但没有办法确定。但根据它被发现的大量地方和在手机上发现它的各种人，很明显，该公司对它卖给谁并不特别在意。他敦促委员会对投资于NSO这样的公司的美国养老基金及作为这类公司的安全庇护所的国家采取行动。 11月，美国政府将NSO列入政府的实体名单从而阻止了向NSO出售美国技术的行为。NSO已经暂停了一些国家的Pegasus特权，但试图为其软件和它试图对其使用的控制进行辩护。 NSO坚持认为，该间谍软件只用于寻求追捕罪犯或恐怖分子的政府。但去年，研究人员开始在属于活动家、人权工作者、记者和商人的手机上发现它的身影。 根据Citizen Labs在7月份的一份报告得出启示–Pegasus感染了至少30名泰国活动家的手机。苹果在11月警告了那些受感染的手机。 为了尝试挫败此类攻击，苹果在iOS 16和即将到来的MacOS Ventura中建立了一个新的锁定模式。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1297825.htm 封面来源于网络，如有侵权请联系删除

微软的威胁情报中心（MSTIC）声称它抓住了一家奥地利公司销售间谍软件的证据，该恶意软件实现了针对律师事务所、银行和咨询公司的未获授权的监视任务。微软为此发表了一篇详细的博客，声称一家名为DSIRF的奥地利公司开发并销售名为SubZero的间谍软件，微软方面将其称为Knotweed。 MSTIC已经发现DSIRF与这些攻击中使用的漏洞和恶意软件之间有多种联系。其中包括恶意软件使用的命令和控制基础设施直接与DSIRF相连，一个与DSIRF有关的GitHub账户被用于一次攻击，一个发给DSIRF的代码签名证书被用于签署一个漏洞，以及其他开源新闻报道将SubZero归于DSIRF。 攻击是通过一个通过电子邮件发送特别设计后的PDF文件传播的，结合一个0day Windows漏洞，该攻击获得了目标机器上的高级别权限。SubZero同时本身是一个rootkit，可以对被攻击的系统进行完全控制。 DSIRF可以利用以前未知的Windows 0day特权升级漏洞和Adobe Reader远程代码执行攻击来破坏系统，微软将该安全漏洞标记为CVE ID CVE-2022-22047，并已确认该漏洞已被修补。 在商业基础上开发和部署恶意软件的公司被称为私营部门攻击者（PSOA），微软也将其称为”网络雇佣兵”。DSIRF很可能是将其间谍软件作为访问即服务和黑客雇佣来提供。微软表示，该公司没有参与任何目标或行动的运行。 DSIRF网站的一个存档副本指出，该公司为”技术、零售、能源和金融领域的跨国公司”提供服务。该公司拥有”一套收集和分析信息的高度精密技术”。 该网站还提到该公司可以”通过提供对个人和实体的深入了解，进行强化的尽职调查和风险分析过程”。它有”高度复杂的红蓝队演练来挑战目标公司最关键的资产”。 微软通过其提交给”打击外国商业间谍软件扩散对美国国家安全的威胁”听证会的书面证词文件，基本上重复了上述信息。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1297691.htm 封面来源于网络，如有侵权请联系删除

美国网络司令部周三披露了数十种针对乌克兰计算机网络的恶意软件，包括20种从未见过的恶意代码样本。 据therecord.media网站2022年7月22日消息，美国网络司令部周三披露了数十种针对乌克兰计算机网络的恶意软件，包括20种从未见过的恶意代码样本。 乌克兰安全局（乌克兰的执法机构和情报机构）与美网络司令部的网络国家任务部队（CNMF）分享了恶意软件的损害情况。 这一披露是美网络司令部和其他机构常规工作的一部分，旨在重点研究俄罗斯、伊朗和朝鲜等外国对手使用的黑客工具，以削弱其数字行动的影响。 今年早些时候，该司令部和其他组织首次将“Muddywater”黑客组织与伊朗情报和安全部联系起来，并上传了用于攻击世界各地组织的多个开源工具样本。 转自 安全内参，原文链接：https://www.secrss.com/articles/45152 封面来源于网络，如有侵权请联系删除

近期，来自Dr. Web的防病毒团队在Google Play商店中发现了一批充斥着广告软件和恶意软件的Android应用程序，令人惊讶的不是这些应用程序是如何通过审核的，而是这些应用程序已在移动设备上安装了近 1000万次。 这些应用程序通常会伪装成图像编辑工具、虚拟键盘、系统优化器、壁纸更换器等。但是，它们的目的是推送侵入性广告、为用户订阅高级服务或窃取受害者的社交媒体帐户。虽然谷歌及时删除了绝大多数此类应用程序，仍有一些漏网之鱼，截至目前仍有三类应用程序可通过Google Play商店下载和安装。如果在谷歌清理这些带有恶意软件的应用程序之前你不幸也下载了它们，那要彻底删除这些应用就需要再次手动卸载并运行AV扫描以清除所有残留物。 Dr. Web团队发现的广告软件应用是对今年5月首次出现在Google Play商店中的现有系列的改进版。一旦用户安装这些软件后，这些应用程序请求允许在任何应用程序上覆盖窗口，并且可以将自己添加到电池保护程序的排除列表中，以便在受害者关闭应用程序时它们可以继续在后台运行。 此外，他们将图标从应用程序列表中隐藏起来，或者用类似于核心系统组件的东西替换它们，比如“SIM Toolkit”。 在这些应用中，一个名为“Neon Theme Keyboard”的应用尤其突出，虽然只有1.8星的评分和很多负面评价，但其下载量已经超过了一百万。很多用户表示，这个应用程序“杀死”了他们的手机。因为它一直在崩溃，用户甚至无法通过输入密码来解锁手机并卸载它。最终，用户不得不选择恢复出厂设置以重新获得手机。所以你甚至在其评论区可以看到很多强烈拒绝安装此应用的呼吁！ 而第二类名为Joker的恶意应用程序，它们以通过订阅高级服务对受害者的手机号码产生欺诈性收费而闻名。其中以“Water Reminder”和“Yoga – For Beginner to Advanced”为代表的恶意应用程序仍在Google Play商店中，它们的下载量分别为10万和5万。这两者也会在后台执行恶意操作，让用户产生额外费用。 最后，Dr. Web还强调了两个分布在图像编辑工具中的 Facebook 帐户窃取程序，这些应用程序是“YouToon – AI 卡通效果”软件和“Pista – 卡通效果”软件，它们在Play商店的总下载量超过150万次。 总的来说，Android恶意软件总会想方设法潜入Google Play商店，甚至有时恶意应用程序还可以在商店中留存几个月，所以不要盲目相信任何应用程序，检查用户评论和评级、访问开发者网站、阅读隐私政策并在安装过程中注意请求的权限至关重要。此外，尽量减少应用程序的下载数量，因为将手机上的应用程序数量保持在最低限度是减少恶意软件感染机会的可靠方法。最后，确保Play Protect在您的设备上处于活动状态，并定期监控您的互联网数据和电池消耗，以识别在后台运行的任何可疑进程。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/340257.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 一个名为Amadey的信息窃取恶意软件正在通过另一个名为SmokeLoader的后门进行分发。 AhnLab安全应急响应中心的研究人员在上周发布的一份报告中表示，这些攻击主要是欺骗用户下载伪装成软件漏洞的SmokeLoader，为部署Amadey铺平道路。 Amadey是一个僵尸网络，于2018年10月左右首次出现在俄罗斯地下论坛上，售价600美元。它能够虹吸凭据、捕获屏幕截图、系统元数据，甚至可以获取有关防病毒引擎和安装在受感染计算机上的其他恶意软件的信息。 虽然沃尔玛全球技术公司去年7月发现了一个更新，其中包含从Mikrotik路由器和Microsoft Outlook收集数据的功能，但该工具集已经升级，可以从FileZilla、Pidgin、Total Commander FTP Client、RealVNC、TightVNC、TigerVNC和WinSCP获取信息。 然而，其主要目标是部署额外的插件和远程访问木马，如Remcos RAT和RedLine Stealer，使黑客能够进行一系列攻击后活动。 建议用户将其设备升级到最新版本的操作系统和Web浏览器，以最大程度地减少潜在的感染途径并避开盗版软件。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

黑客论坛上发布了一个用Rust编码的信息窃取恶意软件源代码，安全分析师警告，该恶意软件已被积极用于攻击。 该恶意软件的开发者称，仅用6个小时就开发完成，相当隐蔽，VirusTotal的检测率约为22%。 恶意软件开发者在一个暗网论坛上公布源代码 信息窃取恶意软件采用Rust（一种跨平台语言）编写的，可在多个操作系统使用。从其当前的使用范围看，它目前只针对Windows操作系统。但它采用Rust编写意味着将其移植到Linux或macOS并不复杂，所以原开发者或其他人可能在未来进行改写。 网络安全公司Cyble的分析师对该信息窃取软件进行了采样，并将其命名为 “Luca Stealer”。 采样报告显示，Luca Stealer具有明显的恶意功能，当执行时，它试图从30个基于Chromium的网络浏览器中窃取数据，它将窃取存储的信用卡、登录凭证和cookies等信息；它还针对”加密货币、浏览器钱包插件、Steam账户、Discord代币、Ubisoft Play等。 针对浏览器扩展程序 与其他信息窃取软件相比，Luca Stealer是密码管理器浏览器插件，可以窃取此类插件储存在本地的数据。它还会捕捉屏幕截图，将其保存为.png文件，执行 “whoami”对主机系统进行剖析，并将细节发送给其运营商。 收集主机系统信息 但Luca Stealer并不具备其他信息窃取软件都拥有的修改剪贴板内容功能，该功能可以劫持加密货币交易的剪切器。 Cyble分析师介绍，被盗数据通过Discord webhooks或Telegram bots渗出，具体取决于渗出的文件是否超过50MB。它使用Discord webhook将数据发回给攻击者，以获取更大的被盗数据日志。 被盗的数据压缩在ZIP文档中，并附有所包含内容的摘要，方便窃密者快速评估数据价值。 ZIP文件发送的被盗文件摘要 Cyble报告称，目前发现了至少25例Luca Stealer的在野利用，虽然源代码已被公布，但它是否会大规模部署还不得而知。但由于其源代码是免费公布，可能成为其滥用原因之一。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/340119.html 封面来源于网络，如有侵权请联系删除

近期，研究人员发现数十个应用程序通过虚拟市场传播 Joker、Facestealer 和 Coper 等恶意软件。据 The Hacker News 网站披露，Google 已从官方 Play 商店中下架了这些欺诈性应用程序。 Android 应用商店被广泛认为是发现和安装这些欺诈性应用程序的来源，但是研究人员发现攻击者正在想方设法绕过谷歌设置的安全屏障，引诱毫无戒心的用户下载带有恶意软件的应用程序。 研究人员  Viral Gandhi 和 Himanshu Sharma 在周一的报告中表示，Joker 是针对 Android 设备最著名的恶意软件家族之一，Zscaler ThreatLabz 和 Pradeo 的最新发现也证明了这一点。 尽管公众对 Joker 这种特殊的恶意软件已经有所了解，但是它通过定期修改恶意软件的跟踪签名（包括更新代码、执行方法和有效载荷检索技术）不断寻找进入谷歌官方应用商店的途径。 关于 Joker Joker 又名 Bread ，被归类为 fleeceware，旨在为用户订阅不需要的付费服务或拨打高级号码，同时还收集用户的短信、联系人名单和设备信息，于 2017 年首次在 Play Store 中被发现。目前，两家网络安全公司共发现了 53 个 Joker 下载器应用程序，这些应用累计下载量超过了 33 万次。 这些应用程序一般通过冒充短信、照片编辑器、血压计、表情符号键盘和翻译应用程序的形式出现，一旦用户安装后，应用程序又要求提升设备的权限来进行其它操作。 研究人员经过分析发现 Joker 恶意软件采用了新的策略绕过检测，Joker 开发人员不会等着应用程序获得指定数量的安装和评论后，再更换带有恶意软件的版本，而是使用商业打包程序将恶意负载隐藏在通用资产文件和打包应用程序中。 恶意软件感染许多应用程序 值得一提的是，应用商店不仅仅出现了 Joker。安全研究员 Maxime Ingrao 上周披露了八款应用程序，其中含有名为  Autolycos 的恶意软件的不同变体。在存在了六个多月之后才从应用程序商店中删除，此时其下载量总计已经超过了 30 万次。 Malwarebytes 的研究员 Pieter Arntz 表示，这种类型的恶意软件具有新的特点，它不再需要 WebView，这大大降低了受影响设备的用户注意到发生异常情况的机会。比如 Autolycos 就是通过在远程浏览器上执行 URL，然后将结果纳入 HTTP 请求中，从而避免了 WebView。 应用商店中还发现了嵌入 Facestealer 和 Coper 恶意软件的应用程序，前者使运营商能够窃取用户 Facebook 凭据和身份验证令牌， 后者（Exobot 恶意软件的后代）充当银行木马，可以窃取广泛的数据。 据悉，Coper 还能够拦截和发送 SMS 文本消息、发出 USSD（非结构化补充服务数据）请求以发送消息、键盘记录、锁定/解锁设备屏幕、执行过度攻击、防止卸载以及通常允许攻击者控制和执行命令通过与 C2 服务器的远程连接在受感染的设备上。 与其他银行木马一样，Coper 恶意软件会滥用 Android 上的可访问权限来完全控制受害者的手机。 Facestealer 和 Coper 感染的应用程序列表如下 ： Vanilla Camera (cam.vanilla.snapp) Unicc QR扫描器 (com.qrdscannerratedx) 最后提醒广大用户，要从正规的应用商店下载应用程序，通过检查开发商信息、阅读评论和仔细检查其隐私政策来验证其合法性，并且建议用户不要给应用授予不必要的权限。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/339760.html 封面来源于网络，如有侵权请联系删除

ChromeLoader 恶意软件通过盗版游戏、恶意二维码和劫持受害者网络浏览器并将广告插入网页的破解软件进行传播。Palo Alto Networks 的 Unit 42 研究人员发现了臭名昭著的ChromeLoader信息窃取恶意软件的新变种，代号为 Choziosi Loader 和 ChromeBack。该发现表明恶意软件仍在不断发展。研究人员在2022年1月发现了这种恶意软件的 Windows 变体，并在2022年3月发现了macOS版本。 在很短的时间内，ChromeLoader 的作者发布了多个不同的代码版本，使用了多种编程框架、增强功能、高级混淆器、修复了问题，甚至添加了针对 Windows 和 macOS 的跨操作系统支持。 Nadav Barak – Unit 42 的 IT 安全研究员 关于 ChromeLoader ChromeLoader 是一种多阶段恶意软件。每个变种在其感染链中都有几个阶段。然而，不同变种之间的感染链似乎相似，例如所有变种都使用恶意浏览器扩展来传播感染。该恶意软件主要用于劫持用户的浏览器搜索和显示广告。尽管它于2022年1月首次浮出水面，但 Unit 42 研究人员在他们的博客文章中表示，它于2021年12月通过 AutoHotKey 编译的可执行文件首次用于攻击，并删除了 1.0 版浏览器劫持程序。该恶意软件在 ISO 或 DMG 文件下载中作为伪造的Chrome扩展6.0 版分发。该图像文件包含一个良性 Windows 快捷方式，该快捷方式启动了一个隐藏文件来部署恶意软件。 正如Hackread.com 在2022年5月报道的那样，该恶意软件还通过免费游戏网站和 Twitter 上的二维码进行营销。所以基本上，它是广告软件。但是，它臭名昭著，因为它被设计为浏览器扩展，而不是动态链接库/.dll 或 Windows 可执行文件/.exe 文件。 感染链 受害者通过恶意广告活动被引诱下载电影种子或破解视频游戏。他们也可能在社交媒体和按安装付费的网站上找到它。一旦下载并安装在系统上，ChromeLoader 就会请求侵入性权限以访问浏览器数据和 Web 请求。此外，该恶意软件还可以捕获受害者在 Yahoo、Google 和 Bing 上的搜索引擎查询，攻击者可以通过这些查询快速确定用户的在线活动。 如何删除 ChromeLoader 恶意软件 无论是 Android 用户、Windows 还是 Mac 设备，了解 ChromeLoader 恶意软件并采取措施保护自己免受其侵害非常重要。ChromeLoader 会劫持用户的网络浏览器并将广告插入网页。它通常通过受感染的网站传播，并且很难删除。因此，请注意并避免下载盗版内容，包括游戏、视频、电影或歌曲。如果浏览器感染了 ChromeLoader 恶意软件，请按照以下步骤将其删除 -> 首先，通过按键盘上的 Ctrl+Alt+Delete 打开 Windows 任务管理器。在“进程”选项卡中，找到“chrome.exe”并单击它。然后，单击结束进程。 接下来，打开您的网络浏览器并导航到 chrome://extensions/。向下滚动，直到找到“ChromeLoader”，然后单击它旁边的垃圾桶图标。 最后，使用防病毒软件运行完整的系统扫描，以确保恶意软件已被删除。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/7QX1IjFAD8WHTYruIQYuvQ 封面来源于网络，如有侵权请联系删除