ChromeLoader 恶意软件激增，劫持浏览器并重定向搜索流量

在最新的网络安全研究中发现，针对Chrome浏览器的恶意软件 ChromeLoader 感染数量在近期大幅增加。

ChromeLoader是一种浏览器劫持程序，它可以修改受害者的浏览器设置，在用户浏览的页面中插入各种虚假广告，甚至会在搜索结果页面将黄色内容插入到页面中，将用户流量引导到广告网站，以广告联盟分成的形式实现收益。虽然这类劫持程序并不少见，但 ChromeLoader 因其持久性、感染途径和感染数量而脱颖而出。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理，ChromeLoader 通过在社区论坛和社交媒体中发帖来分发，这些帖子中声称是破解游戏或盗版电影，诱导用户点击下载ISO文件。当在Windows 10及以上版本操作系统双击ISO文件时，会将ISO文件挂载为虚拟光驱。这个ISO文件包含一个可执行文件，它使用 CS_Installer.exe 这样的名称，假装是一个游戏破解程序或keygen。

目前来看该恶意程序主要是劫持用户流量，将用户搜索查询的流量重定向到广告网站，但是值得注意的是，该恶意程序使用 PowerShell 将自身注入浏览器并添加扩展，使Chrome感染一个静默注入的扩展程序，如果受害用户试图删除拓展程序，它可以从 Chrome 扩展页面（“chrome://extensions”）重定向受害者。

从长远来看，ChromeLoader恶意程序不会满足于一个有效载荷，攻击者会持续推进项目的研发，形成持续的威胁。

此外，安全研究人员还检测到恶意软件的 macOS 版本可同时针对 Chrome 浏览器和 Safari 浏览器，这也就意味着 ChromeLoader 恶意程序已演变成跨平台的重大威胁。

ChromeLoader所利用的 PowerShell 技术可以让恶意程序获得初识立足点，在执行更明显的恶意活动之前隐藏静默，并持续从用户浏览器的会话中窃取敏感数据。