Microsoft en VMware waarschuwen voor een toename van aanvallen met de ChromeLoader-malware, die wachtwoorden en persoonlijke informatie steelt, advertenties toont en aanvullende malware kan installeren, waaronder malware die het systeem “vernietigt” of ransomware. Voor het verspreiden van de malware wordt gebruikgemaakt van malafide links in reacties op YouTube en Twitter en malafide advertenties.
Die linken naar een ISO- of DMG-bestand dat een malafide Google Chrome-extensie installeert. Deze extensie kaapt zoekopdrachten van de gebruiker om advertenties te tonen. Ook steelt de malafide extensie in de browser opgeslagen wachtwoorden. De nieuwste varianten verspreiden ook malware die schadelijker voor gebruikers kan zijn, aldus een analyse van VMware.
Zo plaatst ChromeLoader een “ZipBomb” op het systeem. De gebruiker moet dit bestand nog zelf openen, waarvoor allerlei verleidende bestandsnamen worden gebruikt. Eenmaal geopend zal de ZipBomb alle data op het systeem overschrijven en zo “vernietigen”, zo stelt VMware. Daarnaast kan ChromeLoader ook tot een infectie met de Enigma-ransomware leiden. Om dergelijke aanvallen te voorkomen adviseert Microsoft het inschakelen van de potentially unwanted application (PUA) protection feature in Windows.