ChromeLoader 浏览器劫持者引发新一波恶意软件攻击

关键要点

ChromeLoader，这种使用浏览器扩展的浏览器劫持者，已被发现正向用户传递更多恶意软件。最初，研究人员认为它主要是一个窃取凭证的工具，但随着最新变种的出现，该软件被用于更多恶意目的。

在周一的一篇 博客文章 中，VMware 的研究人员报告称，早在八月底，就有 ZipBomb 被投放到感染系统上。ZipBomb 在用户下载的压缩文件中随初始感染一起出现，用户必须双击该压缩文件才能运行。一旦运行，恶意软件会通过数据过载摧毁用户的系统。

VMware 的研究人员首次在 2022 年一月观察到了 Windows 版本的 ChromeLoader，而 macOS 版本则出现在三月。据研究人员称，有一些已知的 ChromeLoader 变种，包括 ChromeBack 和 Choziosi Loader。Unit 42 的研究人员 发现了使用 AutoHotKey (AHK) 工具编译恶意可执行文件的真实首个 Windows 变种，并投放了 10 版本的恶意软件。

尽管这种恶意软件的创建旨在向用户投放广告软件，研究人员指出，ChromeLoader 作为一个呈现为浏览器扩展的劫持者，增加了感染系统的攻击面，最终可能导致更具破坏性的攻击，例如勒索软件。

Ryan Kennedy，nVisium 的网络安全顾问表示，浏览器扩展是攻击者常用的手段，因为妥协用户的浏览器可以让攻击者利用系统的多个方式，而 ChromeLoader 的能力正是证明。

Kennedy 还指出，恶意软件攻击活动仍在继续，并且不仅仅是向用户浏览器注入广告。攻击者可以利用它窃取凭证、获取用户的浏览历史，甚至可能使系统失效。

“安全团队可以通过审核用户下载的软件来保护他们的用户，同时管理用户的浏览器，”Kennedy 说。“理想情况下，应该阻止用户下载不受信任的浏览器扩展，尤其是那些请求访问用户浏览历史或其他敏感数据的扩展。”

同时，Tanium 的技术战略师 Timothy Morris 补充说，浏览器本身已经成为“端点”。因此，Morris 指出，浏览器扩展在恶意软件开发者中非常受欢迎。

“用户应该检查现有的扩展，删除不认识或未使用的扩展，”Morris 说。“仅使用那些绝对必要且可信的扩展。与所有端点一样，确保安全控制到位并正常工作。在补丁发布后尽快更新浏览器。”