ChromeLoader 惡意軟體在全球蔓延，攻擊 Windows 和 Mac

自今年年初以來，ChromeLoader 惡意軟體一直以穩定的速度造成破壞，本月其數量開始成長。這使得瀏覽器劫持成為廣泛的威脅。

ChromeLoader 是一種瀏覽器劫持程序，它可以修改受害者的網路瀏覽器設置，以顯示廣告垃圾軟體的搜尋結果、在虛假調查網站上自動運行、虛假贈品以及廣告成人遊戲和約會網站。

該惡意軟體的幕後黑手將透過聯盟行銷系統獲得經濟利益。

這種類型的惡意軟體有很多，但由於對PowerShell的濫用，ChromeLoader 因其持久性、規模和感染路徑而脫穎而出。

PowerShell濫用

Red Canary 的研究人員自 2 月以來一直在追蹤 ChromeLoader 的活動，他們發現攻擊者使用惡意ISO存檔檔案來感染受害者的惡意軟體。

通常惡意ISO檔案會偽裝成破解的軟體或遊戲，讓受害者自行下載並啟動。 Twitter 上甚至還有破解的 Android 遊戲廣告，其中的二維碼可直接引導玩家進入惡意軟體下載頁面。

當使用者雙擊惡意 ISO 檔案時，它會被安裝為虛擬 CD-ROM 磁碟機。它將包含副檔名為 .exe 的可執行檔。運行時它將觸發 ChromeLoader 並解碼 PowerShell 命令，能夠獲取遠端資源快取檔案並將其作為Google Chrome擴充功能載入。

完成後，PowerShell 將刪除感染 Chrome 的排程任務，該擴充功能可以悄悄滲透到瀏覽器並操縱搜尋結果並執行其他操作。

macOS 也容易受到攻擊

ChromeLoader 背後的人員也將目標鎖定在執行 macOS 的電腦。他們想要操縱在 macOS 上運行的 Chrome 和Safari。

macOS 上的感染鏈與 Windows 上的類似，但它們不使用 ISO，而是使用 DMG（Apple 磁碟映像）文件，這是 Apple 作業系統上更常見的格式。

此外，macOS 上的 ChromeLoader 變體不是執行安裝程序，而是使用安裝程式的 bash 腳本下載並解壓縮「private/var/tmp」目錄中的 ChromeLoader 擴充功能。

為了盡可能長時間地保持存在，ChromeLoader 會將首選項檔案（「plist」）新增至「/Library/LaunchAgents」資料夾。這可確保每次使用者登入圖形會話時，ChromeLoader Bash 腳本都能持續運作。

要檢查和刪除擴展，請按照以下說明操作：

• 檢查並刪除 Google Chrome、Safari、Firefox 上的擴充程序

此外，您還可以檢查其他瀏覽器設置，看看是否有任何異常。如果發現任何奇怪的設置，請恢復原始模式以解決問題。