一个新的 ChromeLoader 活动正在进行中,使用名为 Shampoo 的搜索劫持者和广告软件浏览器扩展的新变体感染 warez 和盗版电影网站的访问者。
这一新活动的发现来自惠普的威胁研究团队(Wolf Security),他们报告说该行动自 2023 年 3 月以来一直在进行。
ChromeLoader 历史
ChromeLoader 是一种浏览器劫持程序,它会强制安装浏览器扩展程序,这些扩展程序会重定向搜索结果以宣传不需要的软件、虚假赠品、调查、成人游戏、约会网站和其他不相关的结果。
大约一年前, Red Canary 的分析师报告说 ,从 2022 年 2 月开始,ChromeLoader 分发突然激增,现在目标范围包括 macOS 和 Windows。
9 月, VMware 和微软警告说 ,另一场大规模的 ChromeLoader 活动具有实验性的能力,可以删除包括勒索软件在内的其他恶意软件。
最近,在 2023 年 2 月, ASEC 的安全研究人员发现了 一个活动,其中 ChromeLoader 恶意软件分布在以流行视频游戏命名的 VHD 文件中。
最新活动
惠普分析师报告说,在 2023 年 3 月开始的活动中,ChromeLoader 通过恶意网站网络进行分发,这些网站承诺免费下载受版权保护的音乐、电影或视频游戏。
受害者下载的不是合法的媒体文件或软件安装程序,而是执行 PowerShell 脚本的 VBScript,设置以“chrome_”为前缀的计划任务以实现持久性。
此任务会触发一系列脚本,这些脚本会将新的 PowerShell 脚本下载并保存到主机的注册表中,名称为“HKCU:\Software\Mirage Utilities\”,同时还会获取恶意 Chrome 扩展程序 Shampoo。
Shampoo 是 ChromeLoader 的变体,能够在受害者访问的网站上注入广告并执行搜索查询重定向。
在zzqidc分析的样本中,来自浏览器地址栏或 Google 的搜索首先被重定向到 ythingamgladt[.]com 网站,然后是 Bing 搜索结果。
安装恶意扩展程序后,它会阻止受害者访问 Chrome 扩展程序屏幕。用户在尝试这样做时会被重定向到 Chrome 设置屏幕。
该广告软件的操作被认为是出于经济动机,旨在从搜索重定向和广告中获得收入。
当然,受害者不难注意到这些重定向,因为他们没有得到他们在谷歌上搜索的内容,但删除恶意软件很复杂。
“删除 ChromeLoader Shampoo 并不像卸载合法扩展程序那么简单,” 惠普在报告中警告说。
“恶意软件依赖于循环脚本和 Windows 计划任务,以便在受害者删除它或重新启动他们的设备时重新安装扩展程序。”
因此,如果受害者重新启动系统,Chrome 恶意软件将被暂时禁用,但会很快重新安装。
HP Wolf Security 表示,要摆脱 ChromeLoader Shampoo,用户可以执行以下步骤:
- 删除所有以“chrome_”为前缀的计划任务。合法的 Chrome 计划任务通常以“Google”为前缀。
- 删除注册表项“HKCU\Software\Mirage Utilities\”。
- 然后重新启动计算机。
zzqidc还发现 PowerShell 脚本将恶意扩展提取到“C:\Users\<user>\appdata\local\chrome_test”文件夹,如果存在则应将其删除。
HP 警告说,必须在循环脚本重新安装恶意软件之前快速完成这些删除步骤。
确定 ChromeLoader 变体是否在您的 Web 浏览器上运行的一种简单方法是验证 Chrome 是否使用“-load-extension”参数运行。您可以使用 Process Explorer等工具 来检查进程的属性并查看命令行参数。
惠普解释说,那些在企业环境中感染了 ChromeLoader 的人可能不愿意向 IT 部门的同事寻求帮助,因为他们担心从可疑来源下载软件会违反雇主的政策。
但是,不应忽视或低估广告软件的威胁,因为它仍然是一种在您的系统上运行的特洛伊木马,如果其运营商决定从其感染中寻求更积极的货币化途径,它可能随时试图造成更严重的损害。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 通过假 warez 网站推送的新“Shampoo”Chromeloader 恶意软件
