研究人员发现ChromeLoader浏览器劫持恶意软件的新变种

网络安全研究人员发现了ChromeLoader信息窃取恶意软件的新变体，突出了其在短时间内不断演变的功能集。

ChromeLoader主要用于劫持受害者的浏览器搜索和展示广告，于2022年1月面世，并以ISO或DMG文件下载的形式在推特和免费游戏网站上通过二维码发布广告。

ChromeLoader也被更广泛的网络安全社区命名为Choziosi Loader和ChromeBack。该广告软件值得注意的是，它是一个浏览器扩展，而不是Windows可执行文件（.exe）或动态链接库（.dll）。

感染通常通过在按次付费网站和社交媒体上的恶意宣传活动，诱使毫无戒心的用户下载电影种子或破解的视频游戏。

除了请求入侵权限以访问浏览器数据和处理web请求外，它还旨在捕获用户在谷歌、雅虎和必应上的搜索引擎查询，有效地允许威胁参与者获取他们的在线行为。

虽然ChromeLoader恶意软件的第一个Windows变体在1月份被发现，但该恶意软件的macOS版本在3月份出现，通过粗略的磁盘映像（DMG）文件分发流氓Chrome扩展（6.0版）。

但Palo Alto Networks第42单元的一项新分析表明，已知最早涉及该恶意软件的攻击发生在2021 12月，使用自动热键编译的可执行文件代替后来观察到的ISO文件。

“这个恶意软件是一个使用自动热键（AutoHotKey，AHK）编写的可执行文件，这是一个用于脚本自动化的框架，”42号机组研究员纳达夫·巴拉克（Nadav Barak）说，并补充说，它被用来删除浏览器插件的“1.0版”。

自2022年3月以来，还观察到了一个以前未记录的活动，该活动使用6.0版本的Chrome扩展，并依赖ISO映像，该映像包含看似良性的Windows快捷方式，但实际上，它充当了一个管道，在部署恶意软件的已安装映像中启动隐藏文件。

巴拉克说：“这个恶意软件展示了网络罪犯和恶意软件作者的决心：在短时间内，ChromeLoader的作者发布了多种不同的代码版本，使用了多种编程框架、增强功能、高级模糊器、修复了问题，甚至增加了针对Windows和macOS的跨操作系统支持”。