擴充木馬惡意軟體：對 Google Chrome 和 Microsoft Edge 使用者的威脅日益嚴重

偵測到新一波惡意軟體針對 Google Chrome 和 Microsoft Edge 用戶，透過假網站分發的木馬安裝惡意瀏覽器擴充功能。該活動自 2021 年以來一直活躍，利用模仿網站冒充流行軟體下載頁面來誘騙毫無戒心的用戶下載惡意安裝程式。

Table of Contents

威脅情勢

該惡意軟體首先由 ReasonLabs 發現，其範圍從劫持搜尋結果的相對簡單的廣告軟體擴展到能夠竊取私人資料並在受感染系統上執行未經授權的命令的更複雜的腳本。該木馬已經影響了超過 30 萬名用戶，凸顯了該活動的廣泛影響。

這種威脅的核心是惡意廣告的使用，攻擊者創建相似的網站來宣傳 Roblox FPS Unlocker、YouTube、VLC 媒體播放器、Steam 和 KeePass 等知名軟體。搜尋這些程式的用戶可能會被誘騙下載木馬，該木馬充當安裝惡意瀏覽器擴充功能的管道。

安裝後，這些經過數位簽署的惡意安裝程式會在受害者的系統上註冊排程任務，從而觸發 PowerShell 腳本從遠端伺服器下載並執行其他有效負載。這些有效負載包含 Windows 註冊表的修改，強制安裝來自 Chrome Web Store 和 Microsoft Edge 附加元件的擴充功能。然後，這些擴充功能被用來劫持 Google 和 Microsoft Bing 上的搜尋查詢，透過攻擊者控制的伺服器重新導向它們。

惡意軟體如何運作

即使啟用了開發人員模式，使用者也無法輕鬆刪除該木馬安裝的惡意擴充功能。該腳本的最新版本透過刪除瀏覽器更新而變得更加危險，進一步鞏固了受感染系統上的惡意軟體。

此外，本地擴展是從配備廣泛功能的命令與控制 (C2) 伺服器啟動的。它攔截所有網路請求，將其發送到伺服器，接收命令和加密腳本，並將惡意程式碼注入網頁。該惡意軟體還劫持來自 Ask.com、Bing 和 Google 等流行引擎的搜尋查詢，將其透過其伺服器傳輸，然後將其重定向到其他搜尋引擎。

如何移除擴充木馬惡意軟體

如果您懷疑您的系統已受到此惡意軟體的危害，則立即採取行動以減輕損害至關重要。請依照以下步驟移除惡意軟體並恢復系統：

刪除排程任務：找到並刪除每天重新啟動惡意軟體的排程任務。
刪除登錄項目：存取 Windows 登錄並刪除與惡意軟體關聯的任何項目。
刪除惡意檔案和資料夾：從系統中刪除以下檔案和目錄：
- C:\Windows\system32\Privacyblockerwindows.ps1
- C:\Windows\system32\Windowsupdater1.ps1
- C:\Windows\system32\WindowsUpdater1Script.ps1
- C:\Windows\system32\Optimizerwindows.ps1
- C:\Windows\system32\Printworkflowservice.ps1
- C:\Windows\system32\NvWinSearchOptimizer.ps1 （2024 年版）
- C:\Windows\system32\kondserp_optimizer.ps1 （2024 年 5 月版本）
- C:\Windows\InternalKernelGrid
- C:\Windows\InternalKernelGrid3
- C:\Windows\InternalKernelGrid4
- C:\Windows\ShellServiceLog
- C:\windows\privacyprotectorlog
- C:\Windows\NvOptimizerLog