新恶意软件利用恶意 Chrome 和 Edge 扩展程序感染 30 万用户

2024-08-11 10:31:13 0 495

新恶意软件利用恶意 Chrome 和 Edge 扩展程序感染 30 万用户



据观察,一场持续不断、范围广泛的恶意软件活动正在上演,该活动通过伪装成流行软件的虚假网站分发木马,安装恶意 Google Chrome 和 Microsoft Edge 扩展程序。

ReasonLabs 研究团队在分析中表示: “该木马恶意软件包含不同的可交付成果,从劫持搜索的简单广告软件扩展,到提供本地扩展以窃取私人数据和执行各种命令的更复杂的恶意脚本。”

“这种木马恶意软件自 2021 年起就已存在,源自模仿下载网站,其中包含在线游戏和视频的附加组件。”

该恶意软件及其扩展程序合计影响了至少 30 万名 Google Chrome 和 Microsoft Edge 用户,表明该活动影响范围广泛。

该活动的核心是使用恶意广告来推送宣传 Roblox FPS Unlocker、YouTube、VLC 媒体播放器、Steam 或 KeePass 等知名软件的类似网站,诱骗搜索这些程序的用户下载木马,木马作为安装浏览器扩展的渠道。

经过数字签名的恶意安装程序会注册一个计划任务,该计划任务又配置为执行一个 PowerShell 脚本,该脚本负责下载并执行从远程服务器获取的下一阶段有效负载。



这包括修改 Windows 注册表以强制安装来自 Chrome 网上应用店和 Microsoft Edge 附加组件的扩展程序,这些扩展程序能够劫持 Google 和 Microsoft Bing 上的搜索查询并通过攻击者控制的服务器将其重定向。

ReasonLabs 表示:“即使开发者模式处于开启状态,用户也无法禁用该扩展程序。新版本的脚本会删除浏览器更新。”

它还启动了一个直接从命令和控制 (C2) 服务器下载的本地扩展,并具有拦截所有 Web 请求并将其发送到服务器、接收命令和加密脚本以及将脚本注入和加载到所有页面的广泛功能。

最重要的是,它劫持了来自 Ask.com、Bing 和 Google 的搜索查询,并通过其服务器将其传送到其他搜索引擎。

这并不是第一次在野外观察到类似的活动。2023 年 12 月,这家网络安全公司详细介绍了另一个通过 torrents 传递的木马安装程序,该安装程序会安装伪装成 VPN 应用程序的恶意 Web 扩展程序,但实际上旨在运行“现金返还活动黑客攻击”。

关于作者

maojila92篇文章389篇回复

评论0次

要评论?请先  登录  或  注册