今年迄今为止，恶意浏览器扩展针对 100 多万用户

Hackernews 编译，转载请注明出处：

网络安全公司卡巴斯基的最新发现显示，超过131万用户至少一次试图安装恶意或不需要的Web浏览器扩展。

该公司表示：“从2020年1月到2022年6月，超过430万独立用户受到隐藏在浏览器扩展中的广告软件的攻击，约占所有用户中受恶意和不需要的附加组件影响的70%。”

根据卡巴斯基的遥测数据，2022年上半年，多达1311557名用户属于这一类别。相比之下，这类用户的数量在2020年达到峰值3660236名，其次是2021年的1823263个独立用户。

最普遍的威胁是一系列称为WebSearch的广告软件，它伪装成PDF查看器和其他实用程序，并具有收集和分析搜索查询，以及将用户重定向到附属链接的功能。

WebSearch还因修改浏览器的起始页而闻名，该页面包含搜索引擎和许多指向第三方来源的链接，如AliExpress，当受害者点击这些链接时，会帮助扩展开发人员通过附属链接赚钱。

卡巴斯基指出：“此外，该扩展将浏览器的默认搜索引擎修改为search.myway[.]com，它可以捕获用户查询，收集并分析它们。根据用户搜索的内容，大多数相关的合作伙伴网站将在搜索结果中积极推广。”

第二组扩展涉及一种名为AddScript的威胁，该威胁以视频下载程序的名义隐藏其恶意功能。虽然附加组件确实提供了广告功能，但它们也旨在联系远程服务器以检索和执行任意JavaScript代码。

此外，还发现了FB Stealer等窃取信息的恶意软件，其目的是窃取登录用户的Facebook登录凭据和会话cookie。FB Stealer在2022年上半年造成了3077起独特的感染尝试。

该恶意软件主要针对搜索引擎上寻找破解软件的用户，FB Stealer通过名为NullMixer的特洛伊木马交付，该木马通过非官方破解软件安装程序传播，如SolarWinds Broadband Engineers Edition。

研究人员说：“FB Stealer是由恶意软件而不是由用户安装的，一旦添加到浏览器中，它就会模仿无害且外观标准的Chrome扩展程序Google Translate。”

这些攻击也是出于经济动机。恶意软件操作人员在获得身份验证cookie后，登录到目标的Facebook帐户，并通过更改密码来劫持该帐户，从而有效地锁定了受害者。然后，攻击者可以滥用访问权限向受害者的朋友要钱。

一个多月前，Zimperiumm披露了一个名为ABCsoup的恶意软件家族，它伪装成Google Translate扩展程序，作为针对谷歌Chrome、Opera和Mozilla Firefox浏览器俄罗斯用户的广告软件活动的一部分。

为使Web浏览器免受感染，建议用户坚持使用可信来源下载软件，检查扩展权限，并定期查看和卸载“您不再使用或无法识别”的加载项。

消息来源：TheHackerNews，译者：Shirley；
本文由 HackerNews.cc 翻译整理，封面来源于网络；
转载请注明“转自 HackerNews.cc ” 并附上原文