CovidDash 浏览器扩展劫持浏览器设置
在调查可疑网站期间,我们的团队发现了一个推广 CovidDash 浏览器扩展程序的恶意程序。该软件声称可以轻松访问有关 COVID-19 大流行的信息。然而,在检查该工具后,我们发现它作为浏览器劫持者运行,将用户重定向到虚假搜索引擎 coviddashboard.extjourney.com。此外,CovidDash 的安装也与“此设备上的异常网络流量”骗局有关。
安装后,CovidDash 会将浏览器的默认搜索引擎、主页和新的浏览器选项卡/窗口 URL 更改为 coviddashboard.extjourney.com。因此,当用户尝试打开一个新的浏览器选项卡或使用 URL 栏执行网络搜索时,他们将被重定向到假冒的搜索引擎。通常,虚假搜索引擎无法提供准确的搜索结果,因此它们会重定向到 Google、Yahoo 和 Bing 等合法搜索引擎。
然而,在我们进行研究时,coviddashboard.extjourney.com 通过 clickcrystal.com 重定向用户并最终登陆 gsearch.co。虽然 gsearch.co 也是一个虚假的搜索引擎,但它可以生成包含不可靠、误导性和潜在危险内容的搜索结果。删除浏览器劫持者可能具有挑战性,因为它们可能会限制对相关设置的访问并撤消任何用户更改。此外,CovidDash 使用技术来确保在受感染设备上的持久性。
浏览器劫持者通常如何在线分布?
浏览器劫持者可以通过各种方式在线传播,包括软件捆绑、垃圾邮件、恶意网站和虚假软件更新。浏览器劫持者最常见的传播方式之一是通过软件捆绑。在这种技术中,浏览器劫持者与用户从互联网上下载的免费软件或共享软件捆绑在一起。
用户可能不知道捆绑软件包含浏览器劫持程序,因为它通常作为可选安装组件包含在内。当用户安装免费软件时,浏览器劫持程序也会安装在计算机上。
浏览器劫持者的另一种传播方式是通过包含恶意链接或附件的垃圾邮件。用户经常被诱骗点击这些链接或打开附件,将浏览器劫持者下载并安装到计算机上。
包含虚假下载按钮或弹出窗口的恶意网站也可以传播浏览器劫持程序。当用户单击这些按钮或窗口时,浏览器劫持程序就会下载并安装到计算机上。
最后,一些浏览器劫持者伪装成合法的软件更新。系统会提示用户下载并安装更新,这实际上会将浏览器劫持程序安装到计算机上。