新变种Chromeloader的传播受到盗版内容托管网站的促进

新型 ChromeLoader 恶意软件 Shampoo 的分发渠道

关键要点

恶意网站通过提供盗版电影、音乐和视频游戏来散布新的 ChromeLoader 变种 Shampoo。下载盗版内容会导致恶意 VBScripts 被下载，从而执行 PowerShell 脚本并获取 Shampoo Chrome 扩展。该扩展具备广告注入和搜索查询重定向功能。移除 ChromeLoader Shampoo 并不如卸载正常扩展那样简单，研究人员提供了一些移除建议。

自今年三月以来，恶意网站利用提供盗版电影、音乐或视频游戏的方法来传播新的 ChromeLoader 浏览器劫持器变种 Shampoo。根据《BleepingComputer》的报道，用户在这些网站上获取免费的版权内容将导致恶意 VBScripts 的下载，而这些脚本将促进 PowerShell 脚本的执行以及 Shampoo Chrome 扩展的获取。HP Wolf Security 的一份报告指出，该扩展具有广告注入和搜索查询重定向功能，且会阻止对 Chrome 扩展屏幕的访问。

研究人员表示：“移除 ChromeLoader Shampoo 并不简单，仅仅卸载一个合法扩展无法解决问题。该恶意软件依赖循环脚本和 Windows 计划任务在受害者每次移除扩展或重启设备时重新安装扩展。”因此，为了彻底移除这个恶意扩展，研究人员建议在重启系统之前先删除所有以 chrome 开头的计划任务和 HKCUSoftwareMirage Utilities 注册表项。

建议措施： 删除以 chrome 前缀的计划任务。 清除 HKCUSoftwareMirage Utilities 注册表项。

小火箭账号购买

这种攻击手法显示出恶意软件在利用合法渠道的同时，如何巧妙地侵入用户的系统，用户需要提高警惕，避免在可疑网站上下载任何内容，以保护自己的数字安全。