调查显示,与年初以来的稳定相比,本月ChromeLoader恶意软件数量有所增加,这将导致浏览器劫持成为普遍威胁。ChromeLoader是一种浏览器劫持者,它会修改受害者的网络浏览器设置,以推广不需要的软件、虚假广告,甚至在搜索页面上显示成人游戏和约会网站。威胁行为者通过营销联盟系统将用户流量重定向到广告网站以获取经济利益。虽然这种类型的劫持者并不少见,但ChromeLoader因其持久性、数量和感染媒介而脱颖而出,其中包括滥用PowerShell。据自2月以来一直在跟踪ChromeLoader的RedCanary研究人员称,劫机者使用恶意ISO存档文件来感染受害者。ISO文件伪装成游戏或商业软件的破解可执行文件,因此受害者在不知情的情况下从种子或恶意网站下载它。研究人员还注意到Twitter帖子宣传破解版Android游戏并提供QR码,这些帖子也会将用户引导至恶意软件托管站点。在Windows10及以上版本中双击ISO文件时,ISO文件将被挂载为虚拟光驱。此ISO文件包含一个可执行文件,该文件使用类似“CS_Installer.exe”的名称并伪装成游戏破解程序或注册机。最后,ChromeLoader执行和解码PowerShell命令,从远程资源中获取存档并将它们加载为GoogleChrome扩展。完成此操作后,PowerShell会放弃计划任务,用静默注入的扩展程序感染Chrome,该扩展程序会劫持浏览器并操纵搜索引擎结果。ChromeLoader恶意软件还针对macOS系统,旨在操纵Chrome和Apple的Safari网络浏览器。macOS上的感染链也类似,但攻击者使用DMG(AppleDiskImage)文件而不是ISO,这是该操作系统上更常见的格式。但是,macOS变体使用安装程序bash脚本将ChromeLoader扩展下载并解压缩到“private/var/tmp”目录,而不是安装程序可执行文件。为了保持持久性,macOS版本的ChromeLoader会在'/Library/LaunchAgents'目录下追加一个首选项('plist')文件,保证用户每次登录图形会话时,ChromeLoader的Bash脚本可以继续运行。参考来源:https://www.bleepingcomputer.com/news/security/new-chromeloader-malware-surge-threatens-browsers-worldwide/
