新型 ChromeLoader 恶意软件 "Shampoo" 的分发渠道

关键要点

• 恶意网站通过提供盗版电影、音乐和视频游戏来散布新的 ChromeLoader 变种 "Shampoo"。
• 下载盗版内容会导致恶意 VBScripts 被下载，从而执行 PowerShell 脚本并获取 Shampoo Chrome 扩展。
• 该扩展具备广告注入和搜索查询重定向功能。
• 移除 ChromeLoader Shampoo 并不如卸载正常扩展那样简单，研究人员提供了一些移除建议。

自今年三月以来，恶意网站利用提供盗版电影、音乐或视频游戏的方法来传播新的 ChromeLoader 浏览器劫持器变种 "Shampoo"。根据的报道，用户在这些网站上获取免费的版权内容将导致恶意 VBScripts 的下载，而这些脚本将促进 PowerShell 脚本的执行以及 Shampoo Chrome 扩展的获取。HP Wolf Security 的一份报告指出，该扩展具有广告注入和搜索查询重定向功能，且会阻止对 Chrome扩展屏幕的访问。

研究人员表示：“移除 ChromeLoader Shampoo 并不简单，仅仅卸载一个合法扩展无法解决问题。该恶意软件依赖循环脚本和 Windows计划任务在受害者每次移除扩展或重启设备时重新安装扩展。”因此，为了彻底移除这个恶意扩展，研究人员建议在重启系统之前先删除所有以 "chrome_" 开头的计划任务和 "HKCUSoftwareMirage Utilities" 注册表项。

建议措施 ： - 删除以 "chrome_" 前缀的计划任务。 - 清除 "HKCUSoftwareMirage Utilities" 注册表项。

这种攻击手法显示出恶意软件在利用合法渠道的同时，如何巧妙地侵入用户的系统，用户需要提高警惕，避免在可疑网站上下载任何内容，以保护自己的数字安全。