在分析某個聯盟計劃時,Doctor Web 的專家發現了一種具有「點擊器」功能的獨特惡意軟體,並將它命名為 Trojan.ChimeraWire。這種木馬主要針對執行 Microsoft Windows 的電腦,並基於兩個開源專案(zlsgo 和 Rod)來自動化網站與網站應用的操作。
ChimeraWire 是如何作動?
這種木馬能讓網路犯罪者模擬使用者行為──透過搜尋引擎(Google、Bing)自動搜尋目標網站並載入它們,進而模擬點擊網站上的連結,以提升網站的行為因子和搜尋排名。
木馬在受感染電腦上透過 Google Chrome 執行(下載 Chrome 並以 debug 模式啟動),再透過 WebSocket 與控制伺服器通信。
那麼,該病毒是如何被下載到電腦的?
研究指出至少有兩條感染鏈:
第一條感染鏈:
- 開始於 Trojan.DownLoader48.54600,它檢查是否在虛擬機或除錯模式中(如是則終止)。
- 若正常環境下,它下載 Python.Downloader.208 並嘗試提升權限。
- 藉由 DLL 植入漏洞(DLL Search Order Hijacking)載入惡意庫並讓下載器獲得管理員權限。
- 下載下一階段內容(Trojan.DownLoader48.54318)並安裝為開機排程。
- 最終把 Trojan.ChimeraWire 下載到系統。
第二條感染鏈:
- Trojan.DownLoader48.61444 首先嘗試獲取管理權限,並透過 Masquerade PEB 技術偽裝為 explorer.exe。
- 利用系統 DLL 再次透過搜尋順序漏洞載入惡意載體。
- 同時下載 Python.Downloader.208 和其他支援程式。
- 執行下載並建立排程,最後同樣導向 Trojan.ChimeraWire。
ChimeraWire 詳細的惡意行為
🔹 下載並啟動 Chrome
木馬會下載 Google Chrome,隱藏視窗啟動。再透過 WebSocket 與伺服器通訊,取得任務配置。
🔹 模擬使用者行為
任務配置中含有搜尋引擎目標、關鍵字、網域與點擊策略。木馬會:
- 自動搜尋指定關鍵字。
- 開啟搜尋到的連結。
- 利用隨機與概率分佈模擬真實使用者點擊模式,避開網站防機器人檢測。
🔹 其他可能用途
除了提升網站人氣外,原文指出該木馬的架構也可能用於:
✔ 填寫網站表單(包含廣告調查)
✔ 自動蒐集網頁資料、截圖與內容
✔ 為騙取資料或建立網路資料庫(如郵件、電話)
總結
Trojan.ChimeraWire 的主要目的就是透過模擬真實使用者行為來提升網站人氣或搜尋排名,而其背後感染鏈則利用權限提升與 DLL 植入漏洞來迂迴下載惡意載體。