瀏覽器加載器

ChromeLoader 應用程序已被歸類為瀏覽器劫持程序。因此，它的目標是控制幾個重要的 Web 瀏覽器設置，從而為推廣頁面生成人工流量，或向系統提供不需要和不可信的廣告。與瀏覽器劫持者、廣告軟件或其他 PUP（潛在有害程序）相關的廣告通常會宣傳侵入性軟件產品、惡作劇網站、虛假贈品、網絡釣魚門戶、可疑成人遊戲或面向成人的網站。

雖然 ChromeLoader 擁有所有這些典型的瀏覽器劫持功能，但它還配備了一些出色的功能。 Red Canary 的網絡安全研究人員在一份報告中向公眾披露了有關該應用程序的詳細信息。根據他們的發現，ChromeLoader 顯示出對 PowerShell 的廣泛使用。

感染載體

該應用程序作為損壞的 ISO 存檔傳播。此 ISO 文件偽裝成流行視頻遊戲或商業軟件的破解可執行文件。訪問傳播此類產品破解版網站的用戶很可能自己下載了 ChromeLoader 的文件。

執行時，ISO 文件將作為虛擬 CD-ROM 驅動器安裝在系統上。為了保持它屬於預期的破解軟件或遊戲的錯覺，該文件包含一個名稱類似於“CS_Installer.exe”的可執行文件。攻擊鏈的下一步涉及執行負責從遠程位置獲取特定存檔的 PowerShell 命令。然後存檔將作為 Google Chrome 擴展加載到系統中。最後一步再次使用 PowerShell，但這次是刪除之前創建的計劃任務。

Mac 設備可能會受到影響

ChromeLoader 的運營商還增加了入侵 Apple Safari 瀏覽器的能力。感染的一般流程保持不變，但初始 ISO 文件已替換為操作系統設備上更常見的 DMG（Apple 磁盤映像）文件類型。 macOS 變體還利用 bash 腳本來獲取和解壓縮 ChromeLoader 擴展。瀏覽器劫持者將被放入“private/var/tmp”目錄。為了確保它在 Mac 上的持久性，ChromeLoader 將“plist”文件添加到“/Library/LaunchAgents”。