假冒 Google Sheets 扩展程序

我们的研究团队在调查欺骗性网站时发现了这个假冒的 Google Sheets 浏览器扩展程序。此恶意软件伪装成基于 Web 的 Google Docs Editors 套件中的电子表格应用程序。需要澄清的是，此扩展程序与 Google Sheets、Google Docs Editors 或 Google LLC 没有任何关联。

经过分析，我们确定此欺诈性扩展程序旨在收集敏感数据、显示浏览器通知并可能从事其他有害活动。当我们运行包含此伪造 Google Sheets 扩展程序的安装程序时，它还会在我们的测试系统上安装其他不需要的和潜在的恶意软件。

有趣的是，这个非法扩展程序并没有直接安装在 Google Chrome 或 Microsoft Edge 浏览器上。相反，安装程序将扩展程序的文件夹（标题为“Extension”）放在“C:\Users[用户名]\AppData\Local\Temp”目录中。这种方法确保了持久性，这意味着从 Chrome 或 Edge 中删除欺诈性的 Google Sheets 扩展程序并不能完全消除它。在标准删除后，重新打开浏览器时该软件会重新出现。

此外，在设备上安装此扩展程序会通过向目标添加“--proxy-server="217.65.2.14:3333"”来修改 Chrome 或 Edge 浏览器的快捷方式（请注意，IP 地址可能会有所不同）。有关删除此软件的说明可在下面找到。

这个假的 Google Sheets 浏览器扩展程序还利用 Google Chrome 和 Microsoft Edge 上的“由您的组织管理”功能来施加控制。

此外，该扩展程序还会监控用户的浏览活动，收集浏览和搜索历史记录、下载、互联网 cookie、登录凭据（用户名/密码）和财务信息等数据。这些敏感数据可能会出售给第三方或用于牟利。

此外，该恶意扩展程序还会发送垃圾浏览器通知，宣传在线诈骗、不可靠的软件甚至恶意软件。除了上述功能外，该浏览器扩展程序可能还具有其他有害功能。

什么是恶意浏览器扩展？

流氓浏览器扩展程序也称为恶意或虚假浏览器扩展程序，是指安装在 Google Chrome、Mozilla Firefox、Microsoft Edge 或 Safari 等网络浏览器上时旨在欺骗用户或从事有害活动的软件程序。这些扩展程序看似提供了有用的特性或功能，但实际上会执行危害用户隐私、安全或浏览体验的操作。以下是流氓浏览器扩展程序的主要特征和行为：

欺骗性外观：恶意扩展程序通常会模仿合法的浏览器插件，将自己伪装成有用的工具或实用程序，例如广告拦截器、下载管理器或生产力增强程序。它们的外观和功能可能与受信任的扩展程序非常相似，以诱骗用户安装它们。

未经授权的活动：一旦安装，恶意扩展程序可能会在未经用户同意的情况下执行未经授权的活动。这可能包括收集敏感数据、修改浏览器设置、注入广告或将网络流量重定向到恶意网站。

数据收集：恶意扩展程序经常收集用户的浏览数据，包括访问过的网站、搜索查询、登录凭据和财务信息。这些数据可能被用于广告目的、出售给第三方或用于身份盗窃和欺诈计划。

浏览器修改：一些恶意扩展会修改浏览器设置或将不需要的内容注入网页。它们可能会更改默认搜索引擎、更改主页设置或显示侵入性广告（广告软件）。

安全风险：恶意浏览器扩展程序会带来重大安全风险。它们会给浏览器带来漏洞，使其容易受到其他恶意软件感染或使用户面临网络钓鱼攻击。

分发方法：恶意扩展程序通常通过欺骗性手段进行分发，例如虚假软件更新、误导性广告、捆绑软件包或钓鱼电子邮件。用户可能会在尝试下载合法软件或扩展程序时无意中安装这些扩展程序。

持久性和删除难度：恶意扩展程序可能会采用一些技术来逃避检测和删除。即使手动删除，它们也可以自行重新安装，修改浏览器快捷方式，或使用浏览器功能（例如 Chrome 中的“由您的组织管理”）来防止被轻易删除。