LegionLoader滥用Chrome扩展传播多种恶意软件
💡
原文中文,约1200字,阅读约需3分钟。
📝
内容提要
LegionLoader恶意软件通过Chrome扩展传播,实施电子邮件操控和浏览器代理。自2024年8月起,研究人员发现其利用多种技术逃避检测,注入explorer.exe进程,并通过C2服务器接收配置,执行多种恶意操作。该软件自2019年起受到关注。
🎯
关键要点
- LegionLoader恶意软件通过Chrome扩展分发窃密软件,包括电子邮件操控和浏览器代理功能。
- 自2024年8月起,研究人员发现LegionLoader利用多种技术逃避检测,注入explorer.exe进程。
- 该恶意软件使用偷渡式下载和RapidShare分发托管在MEGA上的有效载荷。
- LegionLoader具有截屏、管理加密货币账户和进行金融交易的功能。
- 该软件改进了侧载技术,利用steamerrorreporter64.exe加载恶意vstdlib_s64.dll。
- 恶意程序通过用户交互规避沙箱分析,并在AppData\Roaming文件夹中持久化。
- shellcode经过Base64编码和RC4加密,旨在阻碍分析和检测。
- LegionLoader通过进程镂空将解密后的有效载荷注入explorer.exe进程。
- 恶意软件连接到硬编码的C2服务器,接收配置以执行恶意有效载荷。
- LegionLoader最早在2019年出现,因能投放多种不同的恶意软件而受到关注。
❓
延伸问答
LegionLoader恶意软件是如何传播的?
LegionLoader恶意软件通过Chrome扩展分发,利用偷渡式下载和RapidShare托管在MEGA上的有效载荷。
LegionLoader具有什么样的功能?
LegionLoader具有截屏、管理加密货币账户和进行金融交易的功能。
LegionLoader是如何逃避检测的?
LegionLoader通过用户交互规避沙箱分析,并使用Base64编码和RC4加密来阻碍分析和检测。
LegionLoader的历史背景是什么?
LegionLoader最早在2019年出现,因其能够投放多种不同的恶意软件而受到关注。
LegionLoader如何注入恶意有效载荷?
LegionLoader利用进程镂空将解密后的有效载荷注入explorer.exe进程。
LegionLoader连接到哪个服务器进行配置?
LegionLoader连接到硬编码的C2服务器,接收配置以执行恶意有效载荷。
➡️
