Er is malware ontdekt die een kwaadaardige extensie installeert op browsers. De malware is genaamd ChromeLoader. Er zijn op dit moment twee varianten van ChromeLoader gedetecteerd. Eén is gericht op Windows en een andere op MacOS.
De malware verspreidt zich door te worden gedistribueerd als een ISO-bestand dat eruit ziet als bijvoorbeeld een torrent of 'gekraakte' game. Het wordt verspreidt via social media-kanalen, zoals Twitter, in de vorm van QR-codes, maar ook via het downloaden van illegale films, games, en nep-cracks voor betaalde software. ChromeLoader kaapt de browser, wijzigt zijn instellingen en leidt zoekmachines om, waarbij het resultaatpagina's vult met advertenties die kunnen leiden tot misleidende of schadelijke pagina's en andere ongewenste programma's.
Eenmaal uitgepakt, wordt het ISO-bestand gemount als een schijf op de computer van het slachtoffer. Binnen deze ISO wordt een uitvoerbaar bestand gebruikt om ChromeLoader te installeren. Een PowerShell-script creëert een taak met de naam 'ChromeTask' (al kan deze variëren), die is gepland om elke tien minuten te worden uitgevoerd. Het PowerShell script downloadt ook de kwaadaardige Google Chrome browserextensie 'archive.zip'. Sommige gebruikers meldden dat hun Chrome-browsers zichzelf voortdurend afsluiten als gevolg van deze taak.
Onderzoekers van G-Data schreven reeds in februari een blogpost over ChromeLoader. Het bedrijf noemde de malware Choziosi Loader, en er werd ook gesproken over het gebruik van het Powershell-script. Malware-onderzoeker Colin Cowie schreef in april over de MacOS-variant. Kijk op de supportpagina van Google Chrome hoe extensies te beheren en eventueel te verwijderen. Hetzelfde is te vinden op de supportpagina van Apple.