恶意软件活动劫持了数十万个浏览器
强制安装恶意浏览器扩展并更改核心浏览器文件
网络安全公司 ReasonLabs 的一项新分析发现了一场针对 Google Chrome 和 Microsoft Edge 用户的大规模且持续的恶意软件活动。
该活动通过强制安装恶意浏览器扩展并更改 Windows 系统上的核心浏览器文件,危害了全球超过 300,000 个系统。
此次攻击还使网络犯罪分子能够窃取敏感用户数据,操纵搜索结果,并可能执行有害命令。
据研究人员称,该活动始于欺骗性的在线广告或“恶意广告”,诱使用户下载看似合法的软件,如 Roblox FPS Unlocker、VLC 视频播放器、TikTok 视频下载器、YouTube 下载器、KeePass 密码管理器和 Dolphin Emulator。
这些由“Tommy Tech LTD”数字签名的安装程序实际上是秘密下载并执行恶意 PowerShell 脚本的特洛伊木马。
这些脚本有双重目的:强制安装一系列恶意 Chrome 和 Edge 扩展程序并修改关键浏览器 DLL 文件。
安装的扩展程序伪装成合法的搜索工具,秘密劫持用户搜索,将流量重定向到攻击者的服务器以收集数据和产生利润。
为了确保持久性,该恶意软件会在受感染的系统上创建计划任务,即使在手动删除尝试后也可以重新建立。
此外,它还会修改浏览器快捷方式文件并禁用自动更新,从而妨碍用户检测和消除威胁的能力。
此次活动最令人担忧的方面是对浏览器 DLL 文件的修改,这使得攻击者能够直接控制浏览器的行为。
这种级别的操纵使他们能够覆盖默认搜索引擎,操纵搜索结果,并可能执行任意代码。
ReasonLabs 发现了与此活动相关的多个Google Chrome和 Microsoft Edge 扩展程序。
Google Chrome 扩展程序包括:
Micro Search Chrome 扩展程序(已从 Chrome 商店中移除)
活动搜索栏(已从 Chrome 商店中移除)
您的搜索栏(已从 Chrome 商店中移除)
Safe Search Eng(已从 Chrome 商店中移除)
Lax Search(已从 Chrome 商店中移除)
自定义搜索栏
ygl搜索
Qcom 搜索栏
季度搜索
对于 Microsoft Edge,以下扩展与该活动相关:
简单新标签页(从 Edge 商店中移除)
更清洁的新标签页(从 Edge 商店中移除)
NewTab Wonders(已从 Edge 商店中移除)
SearchNukes(已从 Edge 商店中移除)
EXYZ 搜索(已从 Edge 商店中移除)
奇迹标签(已从 Edge 商店移除)
尽管该活动影响广泛,但许多防病毒程序都未能检测到该威胁。
ReasonLabs 已向谷歌和微软通报了此问题,并正在继续监视情况。
虽然所有已识别的扩展程序已从 Microsoft Edge 附加组件商店中删除,但某些恶意扩展程序仍可在 Google Chrome 网上应用店中获取。
ReasonLabs 首席执行官兼联合创始人 Kobi Kalif 表示:“这一新发现的恶意软件活动只是网络犯罪分子如何针对数字领域消费者的最新例子。”
“我们一发现问题就立即通知了谷歌和微软,他们正在采取适当措施。我们将继续向他们提供未来可能发现的任何新信息。”
为了降低感染风险,ReasonLabs 建议用户在下载软件时要小心谨慎。他们应该保持防病毒软件的更新,并警惕可疑的浏览器扩展。
如果您怀疑您的系统已被感染,请立即采取措施清除恶意软件。
