最近,我们雷达上的一个主要劫机者家庭开始表现出一些奇怪的行为。家庭问题是由各种Chrome扩展和分类为pup.optional.qxsearch.因为它在已安装扩展列表中的描述告诉我们“QxSearch配置您的默认搜索设置。”

QXSearch Tres Extension.

这个分支的搜索劫机者家族是一个明确的后裔SearchPrivacyPlus,这是在我们的用于SD App的Chrome扩展的删除指南.推广QxSearch和SearchPrivacyPlus的Chrome网络商店条目和网站几乎是相同的。不同之处在于,QxSearch告诉用户安装失败或需要额外的步骤。

QXSearch告诉你再试一次?

然而,尽管消息要求用户再试一次,扩展已经安装。好奇。

我们如何识别QXSearch扩展?

QxSearch可以在Web Store的多个Chrome扩展中找到。我们可以通过识别QxSearch描述来识别它们,该描述也会出现在商店的概述部分。

WebStore概述中提到的qxsearch
QXSearch配置默认搜索设置

此时,在从Ad转子送达的网站重定向后,从Web商店安装这些扩展。这些网站都看起来相似,显示了一个提示,告诉用户,“闪存SD应用程序所需的闪存SD应用程序”和标记为“安全”的按钮,导致Web商店中的扩展。

典型的QxSearch推广网站

在网上商店中,到目前为止另一个普通的分母是“提供的:AP”小标题。

由AP提供

在安装期间,“权限提示”将显示扩展读取和更改您的数据在一些网站:

网站数量

使用“显示详细信息”链接将向用户显示他们想要阅读和更改的网站属于一些最常用的搜索引擎,包括谷歌、Bing和Yahoo。

显示详细资料
bing.com,booking.com,google.com,yahoo.com和appsearch.xyz是此搜索劫持者的目标。

劫机者拦截在这些域名上进行的搜索,并将用户重定向到他们自己的域名,显示搜索结果,同时在顶部添加一些赞助结果。

We are not sure whether the behavior of showing a failed install notification is by design or just sloppy programming, but given the fact that the “error” hasn’t been corrected after a few weeks, this leads us to believe it might be on purpose.

查看安装过程,它看起来好像在扩展名时发生故障,因为将图标添加到浏览器的菜单栏。结果,这些劫持者不显示一个图标 - 一种方便的方式来使它们更难以删除。

防止QxSearch

必威平台APPMalwarebytes删除了这些扩展,并阻止了促进这些扩展的已知站点。

必威平台APPMalwarebytes块Chissk.icu.

黑名单延伸是无用的,因为每天至少推出一次新的。所以,我们将向您展示一些典型的商标,他们有共同之处,所以您可以认出它们 - 避免它们。

国际石油公司的QxSearch

搜索结果域:

  • qxsearch.com
  • bigsrch.xyz.

登陆页:

  • chissk.icu.
  • wajm.icu
  • xv11.xyz
  • ... / chrome / new / 2 /?v = 500#sdapp93

相似但不相同

另一个劫持者通过显示未能通知来显示略微相似的行为。

安装中断

仅在这种情况下,“中断安装”是指第一个试图触发的第二个扩展的安装。在这个家庭中,第一个扩展名是一个搜索劫持者,第二个分机是一个“纽特布”劫持者。此家庭中的搜索劫持者被检测为PUP.Optional.safely,纽TAB劫持者称为媒体新标签。

媒体新标签扩展

为什么搜索劫机者会这样做?

劫机者不会给威胁行动者带来大笔现金,比如勒索制造器或银行木马。所以,发行商总是想办法安装到大量系统上,并尽可能长时间地保持安装。

这种“安装失败”的策略可能是为了让用户认为什么都没有安装,因此没有理由检查或怀疑可疑的行为。这并不能解释为什么他们选择重定向到自己的域名,而不是像我们过去看到的那样简单地添加赞助结果。

所以,这仍然是一个谜,也有足够的理由去关注这个家庭。

对劫机者进行全面搜查

搜索劫持者有不同的口味。基本上,如果你看他们的方法,它们可以分为三个主要类别:

  • 劫机者将受害者导向付费最高的搜索引擎。
  • 劫持者将受害者重定向到自己的网站,并显示其他赞助广告。
  • 插入或更换赞助广告后,劫持器将受害者重定向到流行的搜索引擎。

到目前为止,最常见的车辆是浏览器扩展,无论它们都被称为扩展,加载项或浏览器辅助对象。但你也会在这里看到不同的方法:

  • 扩展名允许劫持者将其视为默认搜索引擎。
  • 扩展将占用为“newtab”,并在该选项卡中显示一个搜索字段。
  • 扩展允许在网站上读取和更改数据。它使用这些权限来改变受害者搜索的结果。

特别是在两个列表的情况下,由于用户不会注意到他的搜索结果“关闭”,它可以帮助劫机者隐藏在普通视线中。这似乎是QXSearch家族的这一分支正在做的事情。

一节短的教训

我们可以从这些劫机者身上得到的教训是,仅仅是一个安装失败的通知,并不能充分证明什么都没有安装。保持警惕,这样即使罪犯不容易被发现,你也知道该怎么做。

保持安全的人!