浏览器加载器

ChromeLoader 应用程序已被归类为浏览器劫持程序。因此，它的目标是控制几个重要的 Web 浏览器设置，从而为推广页面生成人工流量，或向系统提供不需要和不可信的广告。与浏览器劫持者、广告软件或其他 PUP（潜在有害程序）相关的广告通常会宣传侵入性软件产品、恶作剧网站、虚假赠品、网络钓鱼门户、可疑成人游戏或面向成人的网站。

虽然 ChromeLoader 拥有所有这些典型的浏览器劫持功能，但它还配备了一些出色的功能。 Red Canary 的网络安全研究人员在一份报告中向公众披露了有关该应用程序的详细信息。根据他们的发现，ChromeLoader 显示出对 PowerShell 的广泛使用。

感染载体

该应用程序作为损坏的 ISO 存档传播。此 ISO 文件伪装成流行视频游戏或商业软件的破解可执行文件。访问传播此类产品破解版网站的用户很可能自己下载了 ChromeLoader 的文件。

执行时，ISO 文件将作为虚拟 CD-ROM 驱动器安装在系统上。为了保持它属于预期的破解软件或游戏的错觉，该文件包含一个名称类似于“CS_Installer.exe”的可执行文件。攻击链的下一步涉及执行负责从远程位置获取特定存档的 PowerShell 命令。然后存档将作为 Google Chrome 扩展加载到系统中。最后一步再次使用 PowerShell，但这次是删除之前创建的计划任务。

Mac 设备可能会受到影响

ChromeLoader 的运营商还增加了入侵 Apple Safari 浏览器的能力。感染的一般流程保持不变，但初始 ISO 文件已替换为操作系统设备上更常见的 DMG（Apple 磁盘映像）文件类型。 macOS 变体还利用 bash 脚本来获取和解压缩 ChromeLoader 扩展。浏览器劫持者将被放入“private/var/tmp”目录。为了确保它在 Mac 上的持久性，ChromeLoader 将“plist”文件添加到“/Library/LaunchAgents”。