據(jù)調(diào)查，相較年初以來的穩(wěn)定，ChromeLoader惡意軟件的數(shù)量在本月有所上升，這將導致瀏覽器劫持成為一種普遍的威脅。ChromeLoader是一種瀏覽器劫持程序，它可以修改受害者的網(wǎng)絡(luò)瀏覽器設(shè)置，以宣傳不需要的軟件、虛假廣告，甚至會在搜索頁面展示成人游戲和約會網(wǎng)站。威脅行為者將用戶流量重定向到廣告網(wǎng)站，通過營銷聯(lián)盟系統(tǒng)獲得經(jīng)濟收益。雖然這類劫持者并不少見，但ChromeLoader因其持久性、數(shù)量和感染途徑而脫穎而出，其中包括對濫用PowerShell。

今年2月以來，Red Canary 研究人員一直保持對ChromeLoader的追蹤，據(jù)他說，劫持者使用惡意ISO存檔文件來感染他們的受害者。ISO文件會被偽裝成游戲或商業(yè)軟件的破解可執(zhí)行文件，所以受害者在不知情的情況下會從torrent或惡意網(wǎng)站下載它。研究人員還注意到，Twitter上有帖子推廣破解的Android游戲，并提供二維碼，這也會導致用戶進入惡意軟件托管網(wǎng)站。

當在Windows 10及以上版本操作系統(tǒng)雙擊ISO文件時，會將ISO文件掛載為虛擬光驅(qū)。這個ISO文件包含一個可執(zhí)行文件，它使用“CS_Installer.exe”這樣的名稱，假裝是一個游戲破解程序或keygen。最后，ChromeLoader執(zhí)行并解碼PowerShell命令，從遠程資源獲取存檔并加載為谷歌Chrome擴展。完成此操作后，PowerShell 將刪除計劃任務(wù)，使Chrome感染一個靜默注入的擴展程序，該擴展程序劫持瀏覽器并操縱搜索引擎結(jié)果。

ChromeLoader惡意軟件同時也針對macOS系統(tǒng)，意在同時操縱Chrome和Apple的Safari 網(wǎng)絡(luò)瀏覽器。macOS上的感染鏈也類似，但威脅參與者使用DMG（Apple 磁盤映像）文件代替ISO，這是該操作系統(tǒng)上更常見的格式。不過macOS變體使用安裝程序bash腳本下載并解壓ChromeLoader擴展到“private/var/tmp”目錄，而不是安裝程序可執(zhí)行文件。

為了保持持久性，macOS版本的ChromeLoader會在‘/Library/LaunchAgents’目錄下追加一個首選項(' plist ')文件,這確保了每次用戶登錄到一個圖形會話，且ChromeLoader的Bash腳本可以持續(xù)運行.