查看: 12896|回复: 31
收起左侧

[分析报告] 重磅,假冒 Google Chrome 安装程序(携带有效数字签名)劫持用户浏览器主页

  [复制链接]
wwwab
发表于 2023-5-27 12:01:55 | 显示全部楼层 |阅读模式
本帖最后由 wwwab 于 2023-5-27 12:01 编辑

一、背景

近日,在进行日常样本捕获过程当中发现一假冒的 Google Chrome 安装程序,携带“上海都点网络科技有限公司”有效数字签名,如下图所示:

该样本来源于某假冒 Google Chrome 下载的恶意网站(chrome[.]jshkck[.]cn),该网站为了躲避安全分析研究人员的分析,其加载的加密js r.js会使得浏览器的F12审查元素无法正常工作,如下图所示:


并且发现,如果将r.js进行阻断,或使用查看网页源代码的方式查看下载URL,得到的下载URL与直接下载得到的URL与文件名称并不相符,如下图所示(左图正常访问下载,中图阻断干扰调试的r.js进行下载,右图为网页源代码):

可以显而易见地看到,只有正常下载时才会下载得到带有数字文件名称的恶意安装程序
并且在无cookies的情况下,该链接无法被访问,如下图所示:


同时还发现每次下载时该链接与下载文件名称当中的数字不一定会相同,如下图所示:


测试时环境下三次下载得到的文件 Hash 值,如下图所示:


我们发现该网站被收录于Bing必应搜索当中,如下图所示:



二、样本行为
运行样本后,程序会使用恶意拓展锁定 Microsoft edge 与 Google Chrome 的浏览器主页、新标签页和搜索跳转页面,如下图所示:


恶意拓展相关信息,如下图所示:


恶意拓展相关代码,如下图所示:


恶意程序释放恶意拓展与恶意模块部分过程,如下图所示:


该样本还存在复制cmd.exe执行行为的行为,尚不清楚作用是什么,存在较高的安全风险与安全隐患,如下图所示:


样本检出率仅1家,如下图所示:


我们发现了多个同源样本,如下图所示:


该家族样本使用多个恶意拓展与恶意模块,其网站对调试器进行干扰与欺骗,强制锁定用户浏览器主页、标签页、搜索结果页,用户很难手动改回,且对用户的其他浏览器进行同样的操作,已严重越界,手法与木马病毒无异。

三、搜索引擎随机取样
既然该网站收录于Bing必应搜索引擎,我们在该搜索引擎当中随机取样。当搜索“谷歌浏览器”为关键词时,页面顶端出现了许多广告,我们取其中某个广告(bb[.]yiliwl[.]top)与在广告下面的第一个搜索结果对象(chrome[.]xahuapu[.]net)进行下载,如下图所示:


这两个网站域名下载得到的文件 Hash 完全一致

样本文件数字签名,厦门腾瑞科技有限公司,如下图所示:


其安装完成后的 Chromium 内核浏览器(非Google Chrome)同样被捆绑了主页、书签和广告图标,如下图所示:


不过可以肯定的是,该样本首页和标签用户可以手动修改回来,且并未使用恶意拓展的方式,不会涉及用户的其他浏览器。

四、总结
浏览器已离不开我们的生活,许多用户喜欢去各大搜索引擎下载浏览器,下载时用户务必要擦亮眼睛,避免造成不必要的麻烦,给他人暗刷广告流量。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 8经验 +60 分享 +3 魅力 +1 人气 +19 收起 理由
4毛5的诺顿 + 3 版区有你更精彩: )
ziqianweiyang + 1
浅美 + 1
屁颠屁颠 + 60 + 3 + 1 版区有你更精彩: )
隔山打空气 + 3

查看全部评分

fsts1014911532
发表于 2023-5-27 12:06:14 | 显示全部楼层
样本?
ANY.LNK
发表于 2023-5-27 12:11:29 | 显示全部楼层
似乎……曾经论坛里出现过相关样本,但并没有引起太大的关注……
hansyu
发表于 2023-5-27 12:16:30 | 显示全部楼层
本帖最后由 hansyu 于 2023-5-27 12:18 编辑

不过这种一眼就能鉴定为假吧,都不用杀软帮忙。
而且系统自带的edge已经比较易用,一般用户压根没必要上chrome。

15717522768
发表于 2023-5-27 12:24:00 来自手机 | 显示全部楼层
hansyu 发表于 2023-5-27 12:16
不过这种一眼就能鉴定为假吧,都不用杀软帮忙。
而且系统自带的edge已经比较易用,一般用户压根没必 ...

edge不行,与国产软件,更进一步
落华无痕
发表于 2023-5-27 20:34:12 | 显示全部楼层
hansyu 发表于 2023-5-27 12:16
不过这种一眼就能鉴定为假吧,都不用杀软帮忙。
而且系统自带的edge已经比较易用,一般用户压根没必 ...

小白是不会看网址的,甚至看着就不像官方网站很假的页面也会下载安装。第一个样本之前有开机启动项反复安装扩展。
54ss
发表于 2023-5-27 21:08:44 | 显示全部楼层
BD 下载后落地杀
123456aaaafsdeg
发表于 2023-5-27 22:26:28 | 显示全部楼层

https://chrome.xahuapu.net/
https://chrome.googlenav.cn/001291/ChromiumSetup.exe
他所列举出的所有版本,都是指向上面地址。
haol
发表于 2023-5-28 10:16:21 | 显示全部楼层
本帖最后由 haol 于 2023-5-28 10:17 编辑

Google 已經封鎖該網站

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
algae
发表于 2023-5-28 14:40:37 | 显示全部楼层
卡巴云拉黑
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-10-31 09:51 , Processed in 0.138484 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表