Extension Trojan Malware

检测到大规模恶意软件活动。它通过伪装成流行软件的虚假网站分发的木马程序安装欺诈性的 Google Chrome 和 Microsoft Edge 扩展程序来锁定用户。该木马程序部署了一系列有效负载，从劫持搜索的基本广告软件扩展程序到安装旨在收集个人数据和执行各种命令的更高级的不安全脚本。该木马程序自 2021 年以来一直活跃，源自提供在线游戏和视频附加组件的假冒下载网站。

数十万受影响的用户

该恶意软件及其相关扩展已影响超过 300,000 名 Google Chrome 和 Microsoft Edge 用户，显示出威胁的广泛性。

此次活动的核心是利用恶意广告将用户引导至模仿 Roblox FPS Unlocker、YouTube、VLC 媒体播放器、Steam 或 KeePass 等知名软件的欺骗性网站。这些网站会诱骗搜索这些程序的用户下载木马，然后安装欺诈性的浏览器扩展程序。

经过数字签名的损坏安装程序会设置一个触发 PowerShell 脚本的计划任务。该脚本负责从远程服务器下载并执行下一阶段的有效负载。

攻击者在受感染的设备上安装新浏览器

这涉及到修改 Windows 注册表以强制插入来自 Chrome 网上应用店和 Microsoft Edge 附加组件的扩展，这些扩展可以劫持 Google 和 Microsoft Bing 上的搜索查询，并通过攻击者控制的服务器将其重定向。

该扩展程序设计为不可删除，即使启用了开发者模式也是如此。该脚本的最新版本还会禁用浏览器更新。此外，它还部署了一个直接从命令与控制 (C2) 服务器下载的本地扩展程序，该扩展程序具有广泛的功能，可以拦截所有 Web 请求、将其转发到服务器、执行命令和加密脚本以及将脚本注入每个网页。

此外，它还劫持来自 Ask.com、Bing 和 Google 的搜索查询，通过其服务器重新路由它们，然后将它们传递给其他搜索引擎。

受影响的用户应采取行动

受到恶意软件攻击影响的用户应采取以下步骤来缓解问题：

• 删除每天重新激活恶意软件的计划任务。
• 删除相关的注册表项。
• 从系统中删除以下文件和文件夹：

C:\Windows\system32\Privacyblockerwindows.ps1

计算机名:\Windows\system32\Windowsupdater1.ps1

C:\Windows\system32\WindowsUpdater1Script.ps1

C:\Windows\system32\Optimizerwindows.ps1

C:\Windows\system32\Printworkflowservice.ps1

C:\Windows\system32\NvWinSearchOptimizer.ps1（2024版本）

C:\Windows\system32\kondserp_optimizer.ps1（2024 年 5 月版本）

位于 C:\Windows\InternalKernelGrid

计算机名：WindowsInternalKernelGrid3

计算机名：WindowsInternalKernelGrid4

C:\Windows\ShellServiceLog

C:\windows\privacyprotectorlog

C:\Windows\NvOptimizerLog

这种类型的攻击并非史无前例。2023 年 12 月，曾报道过一次类似的活动，涉及通过种子分发的木马安装程序。这个安装程序伪装成 VPN 应用程序，但实际上是为了执行“现金返还活动黑客攻击”。