研究人员发现，一个以恶意安装程序为特色的广泛活动，使用户背负难以删除的恶意 Chrome 和 Edge 浏览器扩展程序。

Reason Labs研究团队说：“特洛伊木马恶意软件包含不同的可交付成果，从劫持搜索的简单广告软件扩展到提供本地扩展以窃取私人数据并执行各种命令的更复杂的恶意脚本。

“我们目睹了恶意软件和扩展程序的广泛分布——总共至少有 300,000 名用户在 Google Chrome 和 Microsoft Edge 上受到影响。”

感染

该活动背后的威胁行为者已经建立了欺骗性网站，提供 VLC 或 KeePass 等流行软件供下载，但下载的安装程序甚至不会尝试安装用户想要的程序。

相反，一旦运行，该程序就会注册一个计划任务，该任务将下载 PowerShell 脚本，然后该脚本从远程服务器下载有效负载并在内存中执行它。

该脚本会添加注册表键以强制从 Chrome Web Store 和 Edge Add-ons 页面安装扩展程序，并且用户无法禁用它们，因为它们不会显示在浏览器的扩展程序管理页面上 – 即使激活了开发者模式。

研究人员指出：“该脚本继续禁用浏览器的所有更新，因为在每次更新期间，默认设置都会恢复，这将干扰恶意软件的活动。

该脚本还会下载一个本地扩展程序（“Google Updater”），该扩展程序会劫持浏览器的默认搜索（Bing 或 Google）并将其重定向到攻击者的搜索门户。

如何删除恶意软件和恶意扩展？

“在撰写本文时，大多数AV引擎无法检测到安装程序和扩展程序，”研究团队说。“安装人员由 Tommy Tech LTD 签名。自 2021 年以来，由同一签名者签名的其他安装人员一直存在。

恶意 Chrome 扩展程序的名称中通常包含“搜索”（例如，“自定义搜索栏”、“您的搜索栏”等）。Edge 扩展的名称中包含“搜索”或“选项卡”（例如，“Simple New Tab”、“NewTab Wonders”、“EXYZ Search”等）。他们中的大多数现在已经被谷歌和Microsoft从各自的商店中删除。

商店中的恶意 Simple New Tab 扩展（来源：Reason Labs）

研究人员估计，这两种浏览器至少有 300,000 名用户受到影响，有些人在网上抱怨他们找不到删除恶意扩展的方法。

研究人员分享了一份广泛的妥协指标清单，并概述了消除威胁的过程。

他们指出：“成功删除这种恶意软件的唯一方法是确保它的持久性机制消失了，”这意味着删除计划任务、注册表键和删除恶意软件文件。