最近的一场恶意软件活动在超过 300,000 台浏览器上强制安装了恶意的 Google Chrome 和 Microsoft Edge 扩展程序,更改了浏览器设置以劫持主页并窃取用户浏览历史记录。据ReasonLabs称,该恶意软件的安装程序和扩展程序可以逃避防病毒检测,窃取用户数据并在受感染的机器上执行命令。
感染始于受害者从虚假网站下载软件安装程序,这些网站通过在 Google 搜索结果中投放恶意广告进行推广。这些由“Tommy Tech LTD”签名的安装程序通过承诺提供如 Roblox FPS Unlocker 和 TikTok Video Downloader 等流行工具来误导用户,但实际上运行的是一个下载恶意负载的 PowerShell 脚本。
此脚本修改了 Windows 注册表,以强制安装来自 Chrome 网上应用店和 Microsoft Edge 加载项中的扩展程序,并设置计划任务以确保脚本定期运行。这一设置使攻击者能够部署更多的恶意软件或附加的有效负载,对用户的隐私和安全构成重大威胁。来源
