ChromeLoader 恶意软件的检测量在本月有所上升，自今年年初以来数量相对稳定，导致浏览器劫持成为一种普遍的威胁。

ChromeLoader 是一种浏览器劫持程序，它可以修改受害者的网络浏览器设置，以显示宣传不需要的软件、虚假赠品和调查以及成人游戏和约会网站的搜索结果。

该恶意软件的运营商通过将用户流量重定向到广告网站，通过营销联盟系统获得经济收益。

这类劫持者有很多，但 ChromeLoader 因其持久性、数量和感染途径而脱颖而出，这涉及到对 PowerShell 的积极使用。

滥用 PowerShell
据自今年 2 月以来一直在跟踪 ChromeLoader 活动的 Red Canary 研究人员称，劫持者的操作员使用恶意 ISO 存档文件来感染他们的受害者。

ISO 伪装成游戏或商业软件的破解可执行文件，因此受害者很可能自己从 torrent 或恶意网站下载它。

研究人员还注意到推特帖子宣传破解的 Android 游戏并提供导致恶意软件托管网站的二维码。

当有人在 Windows 10 或更高版本中双击 ISO 文件时，ISO 文件将被挂载为虚拟 CD-ROM 驱动器。此 ISO 文件包含一个伪装成游戏破解或 keygen 的可执行文件，使用名称如“CS_Installer.exe”。

ISO 文件的内容（红金丝雀）
最后，ChromeLoader 执行并解码一个 PowerShell 命令，该命令从远程资源获取存档并将其作为 Google Chrome 扩展加载。

完成此操作后，PowerShell 将删除计划任务，使 Chrome 感染一个静默注入的扩展程序，该扩展程序劫持浏览器并操纵搜索引擎结果。

Windows 上针对 Chrome 使用的 PowerShell
​​​​​​​​​​（ Red Canary）
macOS 也针对
ChromeLoader 的运营商还针对 macOS 系统，希望同时操纵 Chrome 和 Apple 的 Safari 网络浏览器。

macOS 上的感染链类似，但威胁参与者使用 DMG（Apple 磁盘映像）文件代替 ISO，这是该操作系统上更常见的格式。

此外，macOS 变体不是安装程序可执行文件，而是使用安装程序 bash 脚本，该脚本将 ChromeLoader 扩展下载并解压缩到“private/var/tmp”目录中。

macOS 中使用的 Bash 脚本 （Red Canary）
“为了保持持久性，ChromeLoader 的 macOS 变体会将首选项 (`plist`) 文件附加到`/Library/LaunchAgents` 目录，”Red Canary 的报告解释道。

“这确保了每次用户登录到图形会话时，ChromeLoader 的 Bash 脚本都可以持续运行。”

有关检查 Web 浏览器中运行的扩展程序以及如何管理、限制或删除它们的说明，请查看Chrome 指南或Safari指南。