一種名為 ChrimeraWire 的新型木馬程式被發現，它透過模擬真實用戶在Google瀏覽器中的活動來操縱搜尋引擎排名。 Doctor Web 的研究人員今天詳細介紹了該惡意軟體，他們是在分析與聯盟行銷相關的惡意軟體分發活動時發現它的。 ChrimeraWire 不會竊取密碼或加密文件，而是專注於提升特定網站在 Google 和 Bing 搜尋結果中的排名。它透過一個隱藏的Chrome 瀏覽器實例來實現這一目標，該實例以調試模式下載並運行， ChrimeraWire會自動執行搜尋、載入目標網站和點擊操作。 ChrimeraWire安裝完成後，會從第三方網站下載特定的Chrome版本。它會添加旨在繞過驗證碼保護的瀏覽器擴充程序，在隱藏視窗中啟動Chrome，並透過WebSocket連接到命令與控制伺服器。該惡意軟體會接收加密指令，這些指令定義了搜尋內容、載入的網站、模擬點擊次數以及每次操作之間的等待時間。 目前來看，其主要用途似乎是為特定網站引流，很可能是進行不正當的聯盟行銷或搜尋引擎優化操縱。惡意軟體的基礎設施表明，如果營運商選擇這條路，未來可能擴展到更廣泛的自動化或資料擷取領域。 Doctor Web 已在其完整報告中發布了技術細節和 MITRE ATT&CK 映射。建議安全團隊密切注意啟動時執行的未簽署 Chrome 進程、基於 PowerShell 的下載器以及與 Python 或 Chrome 活動相關的排程任務。

這種新型的Windows木馬程式在感染鏈上展現了極高的複雜性，它通常不是直接傳播，而是作為多層次感染流程的最終有效載荷（payload）被釋放。研究人員指出，其中一種常見的感染鏈始於一個下載器木馬，它會先檢查虛擬環境，確認系統真實後才會下載基於Python的腳本和惡意DLL文件，利用已知的Windows DLL搜尋順序劫持（DLL search order hijack）來提升權限。它甚至會濫用已簽名的OneDrive公用程式來加載另一個惡意DLL，最終部署ChrimeraWire。另一種感染鏈則涉及模擬合法Windows進程的下載器，它會修補系統函式庫以運行自己的有效載荷，並利用舊版COM介面漏洞來獲取管理員權限，最終透過排程任務和DLL劫持啟動相同的最終有效載荷。

ChrimeraWire的設計旨在讓其行為看起來像真實的瀏覽活動。為了規避機器人偵測系統，該惡意軟體採用了「機率性」點擊模式、隨機暫停，並打亂連結順序，使其能夠有效地虛增流量，而搜尋引擎可能將其解讀為真實的使用者參與度。雖然目前主要用於SEO操縱，但該惡意軟體也支援其他進階任務，例如讀取頁面內容、螢幕截圖甚至填寫網路表單等功能。這些潛在能力暗示了其營運者未來可能將其擴展至更廣泛的自動化或資料擷取領域。安全團隊務必警惕此類威脅，並落實Doctor Web建議的監控措施，以保護系統免受此類高階搜尋引擎惡意軟體的侵害。