You can install Chrome browser easily on Windows computers using PowerShell which is fast and less annoying than going through normal browser steps.
Option 1 :
$Path = $env:TEMP $Installer = "chrome_installer.exe" Invoke-WebRequest "http://dl.google.com/chrome/install/375.126/chrome_installer.exe" -OutFile $Path\$Installer Start-Process -FilePath $Path\$Installer -Args "/silent /install" -Verb RunAs -Wait Remove-Item $Path\$Installer
Option 2:
$LocalTempDir = $env:TEMP
$ChromeInstaller = "ChromeInstaller.exe"
(new-object System.Net.WebClient).DownloadFile('http://dl.google.com/chrome/install/375.126/chrome_installer.exe', "$LocalTempDir\$ChromeInstaller"); & "$LocalTempDir\$ChromeInstaller" /silent /install
$Process2Monitor = "ChromeInstaller"
Do {
$ProcessesFound = Get-Process | Where-Object { $Process2Monitor -contains $_.Name } | Select-Object -ExpandProperty Name
If ($ProcessesFound) { "Still running: $($ProcessesFound -join ', ')" | Write-Host; Start-Sleep -Seconds 2 } else { Remove-Item "$LocalTempDir\$ChromeInstaller" -ErrorAction SilentlyContinue -Verbose }
} Until (!$ProcessesFound)
I tried using this Powershell script, but unfortunately it doesn’t find anything:
Get-ItemProperty HKLM:\Software\Microsoft\Windows\CurrentVersion\Uninstall* | Where-Object {$_.DisplayName -eq 'Google Chrome'}
7 gold badges43 silver badges79 bronze badges
# Check both the Program Files and AppData directories for Chrome installation
$paths = @(
"$env:ProgramFiles\Google\Chrome\Application\chrome.exe",
"$env:ProgramFiles(x86)\Google\Chrome\Application\chrome.exe",
"$env:LOCALAPPDATA\Google\Chrome\Application\chrome.exe"
)
$chromeInstalled = $false
# Iterate through the paths and check if the Chrome executable exists
foreach ($path in $paths) {
if (Test-Path $path) {
$chromeInstalled = $true
break
}
}
Or you could also check if it installed in the registry
# Function to check if Chrome is installed in the registry
function Check-ChromeInstallation {
$paths = @(
"HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\*",
"HKLM:\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\*",
"HKCU:\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\*"
)
foreach ($path in $paths) {
$items = Get-ItemProperty $path
foreach ($item in $items) {
if ($item.DisplayName -like "*Google Chrome*") {
return $true
}
}
}
return $false
}
3 silver badges17 bronze badges
Исследователи Proofpoint обнаружили технику, которая направляет пользователей копировать и вставлять вредоносные сценарии PowerShell, чтобы заразить их компьютеры вредоносным ПО. Злоумышленники, в том числе TA571 и участники кластера ClearFake, используют этот метод для распространения вредоносного ПО, включая DarkGate, Matanbuchus, NetSupport и различные программы для кражи информации.
Компания Proofpoint обнаружила этот метод в нескольких недавних кампаниях с участием нескольких злоумышленников, включая тех, кто стоит за ClearFake и злоумышленником TA571, известным распространением спама, приводящего к заражению вредоносным ПО и выкупным программам. Цепочка атак требует значительного взаимодействия с пользователем для достижения успеха, но социальная инженерия достаточно умна, чтобы представить человеку реальную проблему и ее решение одновременно, что может побудить пользователя предпринять действия без учета риска.
Кампания ClearFake представляет собой кластер фальшивых обновлений браузера, который компрометирует легитимные веб-сайты с помощью вредоносных HTML и JavaScript.
Первоначальный скрипт затем загружал второй скрипт с домена, который использовал Keitaro TDS для фильтрации. Если этот второй скрипт загружался и проходил различные проверки, а жертва продолжала просматривать веб-сайт, то на скомпрометированном сайте появлялось фальшивое предупреждение. В этом предупреждении содержалась инструкция по установке “корневого сертификата” для корректного просмотра сайта.
Кампания TA571 включала более 100 000 сообщений и была направлена на тысячи организаций по всему миру. Письма содержали HTML-вложение, в котором отображалась страница, напоминающая Microsoft Word. На странице также появлялось сообщение об ошибке: “Word Online’ extension is not installed”, и предлагалось два варианта продолжения: “How to fix” и “Auto-fix”.
Среди обнаруженных полезных нагрузок – DarkGate, Matanbuchus, NetSupport, Amadey Loader, XMRig и Lumma Stealer. Злоумышленники активно экспериментируют с различными методами, чтобы повысить эффективность и найти больше путей заражения для компрометации большего количества систем.
Indicators of Compromise
IPv4
- 91.222.173.113
Domains
- mylittlecabbage.net
URLs
- http://languangjob.com/pandstvx
- http://mylittlecabbage.net/qhsddxna
- http://mylittlecabbage.net/xcdttafq
- https://cdn3535.shop/1.zip
- https://jenniferwelsh.com/header.png
- https://kostumn1.ilabserver.com/1.zip
- https://lashakhazhalia86dancer.com/c.txt
- https://oazevents.com/loader.html
- https://rtattack.baqebei1.online/df/tt
Emails
- rechtsanwalt@ra-silberkuhl.com
SHA256
- 07e0c15adc6fcf6096dd5b0b03c20145171c00afe14100468f18f01876457c80
- 11909c0262563f29d28312baffb7ff027f113512c5a76bab7c5870f348ff778f
- 9701fec71e5bbec912f69c8ed63ffb6dba21b9cca7e67da5d60a72139c1795d1
