Los códigos QR en Twitter entregan una extensión maliciosa de Chrome

Las descargas de archivos ISO se anuncian a través de códigos QR en Twitter y en sitios de juegos supuestamente gratuitos, pero no contienen lo que prometen.

Códigos QR en Twitter y publicidad maliciosa

El cargador de la extensión maliciosa de Chrome fue analizado inicialmente por @x3ph1, quien lo denominó ChromeLoader. Para evitar malentendidos con los componentes legítimos de Chrome, nos referimos a él como Choziosi loader . El análisis del cargador es detallado, pero x3ph1 no describe la extensión de Chrome Choziosi, lo que me intrigó.

El usuario de Twitter @th3_protoCOL encontró códigos QR que circulan en Twitter y anuncian software pirateado para atraer a las personas a descargar un ISO. Los usuarios de Reddit también se quejan de archivos ISO maliciosos en sitios web que ofrecen juegos de Steam. Este tweet de @StopMalvertisin dice que los ISO se descargan a través de anuncios maliciosos.

Códigos QR de Twitter que promocionan software pirateado con Choziosi loader 

Usuario de Reddit quejándose de que la infección apaga regularmente Chrome

El archivo ISO [3] tiene dos componentes principales. El _meta.txt contiene un script de PowerShell, que está cifrado con un cifrado de sustitución. El downloader.exe [2] es un ensamblado .NET. Tiene un gran diccionario con el alfabeto de sustitución para descifrar el script de PowerShell [4] en _meta.txt. Agrega los comandos de PowerShell como una tarea programada llamada  ChromeTask que se ejecuta cada diez minutos.

Otras variantes del mismo malware usan diccionarios para combinar palabras en un nombre de tarea. El downloader.exe también muestra un mensaje de error al usuario, alegando que el sistema operativo es incompatible con el programa.

downloader.exe programa una tarea llamada ChromeTask que ejecuta PowerShell

El script de PowerShell descarga la extensión de Chrome archive.zip [1] de un servidor de malware y lo instala. Debido a la tarea programada, esto continúa ocurriendo cada diez minutos. Esto explica por qué algunos usuarios de Reddit se quejan de que Chrome se cierra todo el tiempo. Este es un percance del desarrollador de malware porque el factor de molestia hará que sea más probable que los usuarios afectados limpien su sistema lo antes posible.

Extensión de Chrome maliciosa

La extensión de Chrome en sí aún no ha sido analizada. Posiblemente debido a su fuerte ofuscación. Al intentar depurar la extensión dentro de Chrome, ya noté que la configuración de la extensión chrome://extensions se redirige a la configuración general chrome://settings . Esto evita que los usuarios desinstalen la extensión dentro de Chrome.

La extensión consta de cuatro archivos. El ícono de la aplicación se llama properties.png y muestra una rueda dentada. El manifest.json es parte de cada extensión de Chrome y tiene algunos metadatos, por ejemplo, sobre la ubicación del ícono, el nombre de la extensión y los permisos. El config.js contiene el nombre de la extensión, el número de versión, el servidor C2 y alguna forma de identificación llamada _dd que siempre se envía como parámetro al servidor.

El script principal es background.js . Cuenta con ofuscación de flujo de control a través de saltos de declaración de caso de cambio que no pueden ser desofuscados automáticamente por las herramientas disponibles actualmente. JavaScript Deoffuscator puede realizar una limpieza inicial, pero el código sigue siendo ilegible. Después de identificar v0MM.T7 y v0MM.o7 como los puntos de anclaje para la decodificación de cadenas de funciones, reemplacé las llamadas a estas funciones con su valor de retorno. Un segundo paso a JavaScript Deoffuscator y la limpieza manual de las funciones ahora innecesarias conducen al código final desofuscado [5] .

Ofuscación del flujo de control a través del salto de la caja del interruptor

Código desofuscado, función de secuestro de búsqueda

La funcionalidad principal de la extensión es publicar anuncios y secuestrar solicitudes de búsqueda a Google, Yahoo y Bing. Cada tres horas se envían análisis al C2. La extensión solicita anuncios del servidor C2 cada 30 minutos.

La siguiente imagen muestra la solicitud de la extensión al servidor C2 en la primera línea y la respuesta del servidor en la segunda. El servidor proporcionó un enlace de descarga directa para un producto de software legítimo.

primera línea: solicitud al servidor; segunda línea: respuesta del servidor con un enlace de descarga legítimo.

Conclusión

Cuando comencé a trabajar en esto, admití que tenía otras expectativas sobre la funcionalidad del malware. Por ahora, el único propósito es obtener ingresos a través de anuncios no solicitados y secuestro de motores de búsqueda. Pero los cargadores a menudo no se adhieren a una carga útil a largo plazo y los autores de malware mejoran sus proyectos con el tiempo. Es probable que veamos más de esta amenaza en el futuro.

hash de Archivo

Todos los archivos mencionados, incluidos los archivos decodificados y desofuscados, están disponibles para su descarga en MalwareBazaar .

DescripciónSHA256
[1] Extensión de cromo6b1db4f891aa9033b615978a3fcfef02f1904f4eba984ba756ff5cd755d6f0b4
[2] descargar.exe, archivo .NET2d4454d610ae48bf9ffbb7bafcf80140a286898a7ffda39113da1820575a892f
[3] ISO8840f385340fad9dd452e243ad1a57fb44acfd6764d4bce98a936e14a7d0bfa6
[4] Script de PowerShell descifrado2e958f481828ce7c59a3beab2ddac5561347e6f9bc25e6716c4524b845e83938
[5] Fondo desofuscado.js1c0254f0f811aadd6f1dad1cc5926f6b32fa2fb0866c35bf6a9f3dfad25fd9ca

Enlace:https://www.gdatasoftware.com/blog/2022/01/37236-qr-codes-on-twitter-deliver-malicious-chrome-extension Blog de GDATA Karsten Hahn