近日，研究者发现，黑客通过Chrome DLL劫持藏在广告软件包中的密码后门。该后门是通过广告插件进行安装的，这些广告插件在运行广告的时候，通常会捎带着安装一些其他程序（几乎都是恶意的）。

研究者发现，当运行Chrome时，这些所谓的广告插件就会实施Chrome DLL劫持，以便从用户的Facebook和Twitter账户中窃取信息。

通过Chrome DLL劫持

当执行一个程序需要加载一个特定的DLL时，该程序就可以从一个特定的位置装载它，或者只指定它希望加载的DLL。当Windows试图找到DLL时，它会使用搜索路径查找DLL，它所查找的第一个位置就位于可执行文件所在的文件夹中。如果找到了请求的DLL，它将自动将DLL加载到程序中。

恶意软件可以利用这一点，将恶意的DLL放置在程序的文件夹中，该文件夹包含的程序通常是从另一个文件夹加载的相同名称的DLL，这就导致程序执行恶意的DLL而不是它所期望的合法的DLL。

在这种情况下，广告木马就会在C:Program Files (x86)GoogleChromeApplication文件夹中放置一个恶意版本的winhttp.dll。当受害者开始使用Chrome时，chrome.exe将加载winhttp.dll的恶意版本，而不是一个C:Windowssystem32。

Chrome dll劫持Winhttp.dll 

当Chrome启动后，恶意的winhttp.dll被加载，木马将连接到一个远程站点，发送和接收信息。然后它会连接到Facebook，并试图从用户的个人资料中窃取信息。

网络连接

当连接到Facebook和Twitter后,它将打开以下这些页面：https://www.facebook.com/settings,https://www.facebook.com/bookmarks/pages；

https://secure.facebook.com/payments/settings/payment_methods/?__a=1；

https://www.facebook.com/profile.php；

https://mobile.twitter.com/account；https://twitter.com/settings/account。

各种字符串

对怀有恶意的人来说，每一页面都包含了可能有价值的用户信息，比如，朋友列表，用户的信息设置，他们的电子邮件地址和电话号码，用户关注的Facebook信息，以及facebook上绑定的信用卡的信息，比如信用卡类型……

值得庆幸的是，在VirusTotal上的64个安全供应商中，有45个检测到这项服务，尽管大多数都没有正确地将感染级别分类为窃取密码的高度。

广告捆绑软件的黑洞

我一直在抨击利用adware（一个附带广告的电脑程序）获利的公司，这些公司经常不顾用户安全，无限扩大自己的利益。之所以他们如此猖狂，这是因为用户看到的只是弹出的广告，但实际上adware安装程序也安装了各种用户无法看到的其他不需要的和完全恶意的程序。

比如，密码窃取程序、挖矿恶意软件、技术支持诈骗、广告点击攻击、浏览器劫持攻击、网页浏览跟踪、rootkit等。在过去的两年里，我看到了一些非常严重的感染，其中包括一个名为Fireball的病毒，这款恶意软件在全球肆虐，现已成功感染了2.5亿台电脑，使得全球有超过20%的企业受到影响。Fireball充当浏览器劫持者，可以将其变成一个功能齐全的恶意软件下载器。 Fireball能够在受害者机器上执行任何代码，进行窃取凭据到删除其他恶意软件的各种操作。Fireball主要通过捆绑传播，安装通常未经用户同意。

正如你所看到的，Adware和PUPs(潜在有害程序)不再仅仅是传统上让用户感觉烦恼的骚扰广告软件，目前它们已经成为了一个恶意软件肆虐的黑洞。

IOCs

哈希

adware bundle - 41474cd23ff0a861625ec1304f882891826829ed26ed1662aae2e7ebbe3605f2
svchost.exe (installer) - a7a42bdb5f390e21107aedce73904ade8385a6e550149f8358f89515f30db336
winhttp.dll - c44298540b45cd35d641fea76c7512f8e859967f9ef9a3c5df42477e8b6c7bda

网络通信

api.kkkkkdajlhlkjhsdewgtuv.com/
www.installpixel.com
www.ads-down2.com
down.njwjh42jhdjklj.co

广告木马相关文件

C:Program Files (x86)GoogleChromeApplicationwinhttp.dll
%UserProfile%AppDataLocalAdService
%UserProfile%AppDataLocalAdServiceAdService.dll
%UserProfile%Downloadssvchost.exe

相关的注册表密钥

HKCUSoftwareCrcXcInsatall
HKCUSoftwareCrcXcInsatallInstall	xxoo
HKCUSoftwareSetupCompany
HKCUSoftwareSetupCompanyName	SetupCompany
HKLMSOFTWAREWow6432NodeMicrosoftWindows NTCurrentVersionSvchostAdsServiceGroup	AdsService
HKLMSYSTEMCurrentControlSetservicesAdsService
HKLMSYSTEMCurrentControlSetservicesAdsServiceType	32
HKLMSYSTEMCurrentControlSetservicesAdsServiceStart	2
HKLMSYSTEMCurrentControlSetservicesAdsServiceErrorControl	1
HKLMSYSTEMCurrentControlSetservicesAdsServiceImagePath	%SystemRoot%System32svchost.exe -k AdsServiceGroup
HKLMSYSTEMCurrentControlSetservicesAdsServiceDisplayName	AdsService
HKLMSYSTEMCurrentControlSetservicesAdsServiceWOW64	1
HKLMSYSTEMCurrentControlSetservicesAdsServiceObjectName	LocalSystem
HKLMSYSTEMCurrentControlSetservicesAdsServiceDescription	AdsService
HKLMSYSTEMCurrentControlSetservicesAdsServiceParameters
HKLMSYSTEMCurrentControlSetservicesAdsServiceParametersServiceDll	%UserProfile%AppDataLocalAdServiceAdService.dll