自2020年以来,近700万用户尝试安装恶意浏览器扩展程序,其中 70% 的扩展程序用作广告软件,以向用户投放广告。
2022年上半年恶 Web浏览器扩展携带的最常见有效载荷属于广告软件系列,用于窥探浏览活动并推广附属链接。
这一发现基于 卡巴斯基收集的遥测数据,该数据报告称,在22年上半年,用户尝试安装恶意扩展程序的次数超过 1,300,000 次,与去年的数字相比有所增加。
恶意扩展安装尝试次数 (卡巴斯基)
从 2020年1月到2022年6月,卡巴斯基记录了针对 430 万唯一用户的广告软件扩展程序,约占该期间所有恶意扩展程序的 70%。
与任何其他交付机制相比,此统计数据反映了广告软件交付渠道恶意扩展的规模 。
还应注意,这些数字仅反映使用卡巴斯基软件的用户的遥测数据。考虑到受其他安全供应商保护的用户时,这些数字可能要重要得多。
2022 年最大的威胁
从“ WebSearch ”开始,卡巴斯基表示,他们今年检测到了针对 876,924 名用户的相关扩展,这些扩展通常模仿了生产力工具,例如 DOC 到 PDF 转换器和文档合并实用程序。
根据卡巴斯基的说法,WebSearch 会监控用户的浏览活动,以根据他们的兴趣对他们进行分析,然后推广来自附属营销计划的链接,以帮助通过感染获利。
此外,WebSearch 使用 AliExpress 或 Farfetch 更改浏览器的主页,通过点击搜索结果上的附属链接从扩展中产生资金。
EasyPDFCombine 扩展设置的新主页 (卡巴斯基)
隐藏在浏览器扩展脚本中的第二个最常见的广告软件是“ AddScript ”,在针对 156,698 个唯一用户的攻击中可见。
AddScript 在后台秘密运行,而带有它的扩展提供了承诺的功能:从网络下载视频。
该恶意软件使用安装后获取的 JavaScript 在后台运行视频并在 YouTube 频道上记录“观看次数”,从而增加广告收入。
AddScript (卡巴斯基)中的恶意代码
此外,AddScript 在主机上注入附属 cookie,接收通过浏览器购买的佣金。
通过恶意扩展程序嵌套在人们机器上的第三大流行广告软件是“ DealPly ”,它在今年上半年造成了 97,525 次感染尝试。
该广告软件首先执行盗版软件,例如从点对点网络和阴暗网站下载的 KMS 激活器和游戏作弊引擎。
随后是浏览器扩展的自动注入和新注册表项的添加。
DealPly (Kaspersky)添加的注册表项
这些键增加了持久性,因此如果用户删除扩展程序,它会在程序重新启动时重新下载并安装在浏览器上。
DealPly 还更改了浏览器的主页,以推广与用户搜索查询相匹配的附属网站。
审查用户的搜索查询以推广附属链接 (卡巴斯基)
如何保持安全
要使您的浏览器免受广告软件感染,请仅从浏览器的官方网络商店下载扩展程序,检查用户评论和评论,并对开发者/发布者进行背景调查。
某些扩展需要强大的权限才能提供承诺的功能,因此在同意它们之前仔细审查其隐私政策和数据收集实践至关重要。
最后,尝试使用最少数量的扩展,并定期检查已安装的附加组件,以删除任何您不确定如何安装的附加组件。
