恐将要挟世界阅读器 ChromeLoader恶意软件激增
据考查,相较年终以来的稳固,ChromeLoader恶意软件的数量在本月有所回升,这将造成阅读器劫持成为一种广泛的要挟。ChromeLoader是一种阅读器劫持程序,它可以修正受益者的网络阅读器设置,以宣传不须要的软件、虚伪广告,甚至会在搜查页面展现成人游戏和约会网站。要挟行为者将用户流量重定向到广告网站,经过营销联盟系统取得经济收益。只管这类劫持者并不少见,但ChromeLoader因其耐久性、数量和感化路径而锋芒毕露,其中包括对滥用PowerShell。
往年2月以来,Red Canary钻研人员不时坚持对ChromeLoader的追踪,据他说,劫持者经常使用恶意ISO存档文件来感化他们的受益者。ISO文件会被伪装成游戏或商业软件的破解可口头文件,所以受益者在不知情的状况下会从torrent或恶意网站下载它。钻研人员还留意到,Twitter上有帖子推行破解的Android游戏,并提供二维码,这也会造成用户进入恶意软件托管网站。
当在Windows10及以上版本操作系统双击ISO文件时,会将ISO文件挂载为虚构光驱。这个ISO文件蕴含一个可口头文件,它经常使用“CS_Installer.exe”这样的称号,伪装是一个游戏破解程序或keygen。
最后,ChromeLoader口头并解码PowerShell命令,从远程资源失掉存档并加载为谷歌Chrome裁减。实现此操作后,PowerShell将删除方案义务,使Chrome感化一个静默注入的裁减程序,该裁减程序劫持阅读器并操纵搜查引擎结果。
ChromeLoader恶意软件同时也针对macOS系统,意在同时操纵Chrome和Apple的Safari网络阅读器。macOS上的感化链也相似,但要挟介入者经常使用DMG(Apple磁盘映像)文件替代ISO,这是该操作系统上更经常出现的格局。不过macOS变体经常使用装置程序bash脚本下载并解压ChromeLoader裁减到“private/var/tmp”目录,而不是装置程序可口头文件。
为了坚持耐久性,macOS版本的ChromeLoader会在‘/Library/LaunchAgents’目录下追加一个首选项(' plist')文件,这确保了每次用户登录到一个图形会话,且ChromeLoader的Bash脚本可以继续运转.