扩展木马恶意软件：对 Google Chrome 和 Microsoft Edge 用户的威胁日益严重

研究人员检测到新一波恶意软件，这些恶意软件通过虚假网站分发的木马安装恶意浏览器扩展程序，针对 Google Chrome 和 Microsoft Edge 用户。该活动自 2021 年以来一直活跃，利用伪装成流行软件下载页面的模仿网站诱骗毫无戒心的用户下载恶意安装程序。

Table of Contents

威胁形势

该恶意软件由 ReasonLabs 首次发现，范围从劫持搜索结果的相对简单的广告软件扩展到能够窃取私人数据并在受感染系统上执行未经授权的命令的更复杂的脚本。该木马已经影响了超过 30 万名用户，凸显了这一活动的影响范围之广。

这种威胁的核心是恶意广告，攻击者会创建类似的网站来宣传 Roblox FPS Unlocker、YouTube、VLC 媒体播放器、Steam 和 KeePass 等知名软件。搜索这些程序的用户可能会被诱骗下载木马，而木马会充当安装恶意浏览器扩展程序的渠道。

一旦安装，这些经过数字签名的恶意安装程序就会在受害者的系统上注册一个计划任务，从而触发 PowerShell 脚本从远程服务器下载并执行其他负载。这些负载包括对 Windows 注册表的修改，强制安装来自 Chrome 网上应用店和 Microsoft Edge 附加组件的扩展程序。然后，这些扩展程序会被用来劫持 Google 和 Microsoft Bing 上的搜索查询，并通过攻击者控制的服务器将其重定向。

恶意软件如何运作

即使启用了开发者模式，用户也无法轻易删除此木马安装的恶意扩展。该脚本的最新版本通过删除浏览器更新变得更加危险，进一步巩固了受感染系统上的恶意软件。

此外，本地扩展程序从命令和控制 (C2) 服务器启动，该服务器具有广泛的功能。它会拦截所有 Web 请求，将其发送到服务器，接收命令和加密脚本，并将恶意代码注入网页。该恶意软件还会劫持 Ask.com、Bing 和 Google 等热门搜索引擎的搜索查询，将其通过其服务器进行传输，然后将其重定向到其他搜索引擎。

如何删除扩展木马恶意软件

如果您怀疑您的系统已被此恶意软件入侵，则必须立即采取措施减轻损害。请按照以下步骤删除恶意软件并恢复您的系统：

删除计划任务：找到并删除每天重新激活恶意软件的计划任务。
删除注册表项：访问 Windows 注册表并删除与恶意软件相关的所有项。
删除恶意文件和文件夹：从系统中删除以下文件和目录：
- C:\Windows\system32\Privacyblockerwindows.ps1
- C:\Windows\system32\Windowsupdater1.ps1
- C:\Windows\system32\WindowsUpdater1Script.ps1
- C:\Windows\system32\Optimizerwindows.ps1
- C:\Windows\system32\Printworkflowservice.ps1
- C:\Windows\system32\NvWinSearchOptimizer.ps1 （2024版本）
- C:\Windows\system32\kondserp_optimizer.ps1 （2024 年 5 月版本）
- C:\Windows\InternalKernelGrid
- C:\Windows\InternalKernelGrid3
- C:\Windows\InternalKernelGrid4
- C:\Windows\ShellServiceLog
- C:\windows\privacyprotectorlog
- C:\Windows\NvOptimizerLog