ChromeLoader 浏览器劫持者引发新一波恶意软件攻击

关键要点

• ChromeLoader 作为浏览器劫持者，正在交付更多的恶意软件。
• 研究人员发现新型 ZipBomb 会影响用户系统。
• ChromeLoader 能够窃取用户凭证及浏览历史。
• 建议用户审查和管理浏览器扩展以提高安全性。

ChromeLoader，这种使用浏览器扩展的浏览器劫持者，已被发现正向用户传递更多恶意软件。最初，研究人员认为它主要是一个窃取凭证的工具，但随着最新变种的出现，该软件被用于更多恶意目的。

在周一的一篇 中，VMware 的研究人员报告称，早在八月底，就有 ZipBomb被投放到感染系统上。ZipBomb在用户下载的压缩文件中随初始感染一起出现，用户必须双击该压缩文件才能运行。一旦运行，恶意软件会通过数据过载摧毁用户的系统。

VMware 的研究人员首次在 2022 年一月观察到了 Windows 版本的
，而 macOS 版本则出现在三月。据研究人员称，有一些已知的 ChromeLoader 变种，包括
ChromeBack 和 Choziosi Loader。 发现了使用 AutoHotKey (AHK) 工具编译恶意可执行文件的真实首个
Windows 变种，并投放了 1.0 版本的恶意软件。

尽管这种恶意软件的创建旨在向用户投放广告软件，研究人员指出，ChromeLoader作为一个呈现为浏览器扩展的劫持者，增加了感染系统的攻击面，最终可能导致更具破坏性的攻击，例如勒索软件。

Ryan Kennedy，nVisium 的网络安全顾问表示，浏览器扩展是攻击者常用的手段，因为妥协用户的浏览器可以让攻击者利用系统的多个方式，而
ChromeLoader 的能力正是证明。

Kennedy 还指出，恶意软件攻击活动仍在继续，并且不仅仅是向用户浏览器注入广告。攻击者可以利用它窃取凭证、获取用户的浏览历史，甚至可能使系统失效。

“安全团队可以通过审核用户下载的软件来保护他们的用户，同时管理用户的浏览器，”Kennedy说。“理想情况下，应该阻止用户下载不受信任的浏览器扩展，尤其是那些请求访问用户浏览历史或其他敏感数据的扩展。”

同时，Tanium 的技术战略师 Timothy Morris 补充说，浏览器本身已经成为“端点”。因此，Morris指出，浏览器扩展在恶意软件开发者中非常受欢迎。

“用户应该检查现有的扩展，删除不认识或未使用的扩展，”Morris说。“仅使用那些绝对必要且可信的扩展。与所有端点一样，确保安全控制到位并正常工作。在补丁发布后尽快更新浏览器。”