浏览器扩展非常实用,但使用它们并非没有风险。正如反病毒发行商卡巴斯基刚刚透露的那样,每年有数百万互联网用户成为恶意扩展的受害者。自 2020 年初以来,仅依靠自己的客户群,该公司就已经能够阻止超过 600 万次恶意扩展下载。
这些被阻止的扩展程序中有三分之二是“广告软件”类型,三分之一是“恶意软件”类型。在这两种情况下,它们都以虚假的外表出现,并且通常提供有用且实用的功能:PDF 转换、语法和拼写纠正、视频下载、代理等。卡巴斯基利用其分析来突出显示四个恶意扩展家族。
转眼间,我们改变了搜索引擎
第一个是“网络搜索”。这是最常见和最基本的广告软件系列。安装后,它将用另一个(“myway.com”)替换用户的默认搜索引擎。根据所执行的搜索,它将显示自己的广告链接。它是著名的“工具栏”的变体,它惹恼了几代互联网用户。在这个系列中,您将找到以下扩展:“EasyPDFCombine”、“FromDocToPDF 的 PDF 查看器和转换器”、“OnlineMapFinder”、EasyDocMerge”。该软件已从浏览器应用程序商店中删除,但仍有一些人在使用它。
第二个家族是“DealPly”,也是广告软件类型。通常,这些扩展不是由用户直接下载的,而是由破解软件中的恶意软件下载的。和以前一样,搜索引擎被另一个引擎取代。互联网用户也将被直接传送到赞助网站,而他们并不希望这样做。摆脱这种类型的扩展更为复杂,因为负责安装该扩展的恶意软件还会通过将其添加到注册表来使其持久化。删除后,下次启动浏览器时它将自动重新出现。该系列中的扩展包括内部 Chromium 扩展和搜索管理器。
虚假流量的产生
第三个家族是“AddScript”。它是包含混淆代码的恶意软件,一旦解码,就会执行相当侵入性的操作,例如后台视频播放器或在浏览器目录中放置虚假 cookie。您会明白,其目标是广告骗局。这涉及生成虚假视频视图或让人们相信互联网用户已经访问过某些页面。一些示例:“Y2Mate Video Downloader”、“Helper(找到最佳价格的简单方法)”、“SaveFrom.net helper”和“friGate3 Proxy helper”。
最后,第四个家族是“FB Stealer”。与 DealPly 一样,这些扩展是由破解软件中嵌入的恶意软件安装的。扩展程序再次改变了搜索引擎。它还会窃取用户的 Facebook 会话 cookie、代替用户登录并更改密码。“一旦进入帐户,攻击者就可以向受害者的朋友要钱,试图在用户重新访问该帐户之前获得尽可能多的钱。”,苏林·卡巴斯基。
来源 : 卡巴斯基