搜索劫持的SAGA中的最新类型的安装程序更改了一个Chrome策略,告诉用户无法删除,因为浏览器从外部管理。
正如你所能想象的,这已经吓坏了不少Chrome用户。
我们谈到了搜索劫机者的商业模式详细地可以说,这是一个价值数十亿美元的行业,许多搜索劫持者都想从中分一杯羹,因为哪怕是很小的一部分,也可以带来丰厚的收入。
一名搜索劫机者不会为勒索软件或银行特洛伊木马等威胁行为人带来大量现金。因此,出版商总是在寻找方法,安装在大量系统上,并尽可能长时间地保持安装状态。
对于他们中的许多人来说,道德并不是优先考虑的,这也不应该令人惊讶。只要他们能从他们的重定向费用中获利,他们就不会不关心你被默认的搜索提供商缠住而带来的不便,而你自己也不会选择。
这次他们做了什么?
我们的一些客户提醒我们,他们无法删除Chrome扩展,因为他们遇到了此限制:
基本上,这是告诉用户浏览器可以在Chrome之外进行管理,并且管理员已经安装了一个扩展。即使在受影响的系统上拥有管理员帐户的用户也无法删除这些扩展。
有问题的扩展概述在所有已安装的扩展概述中,因为它是没有“删除”选项的概述。
我们在Chrome WebStore中找到了几个这些搜索劫持者,但从那里安装它们不会导致“托管浏览器症状”。它需要一个Windows安装程序来使必要的注册表更改,因此从WebStore安装它的用户应该能够以正常方式将其删除。
使用托管浏览器技术的所有劫持者都是共同的,它们是它们添加了注册表项:
HKEY_LOCAL_MACHINE \软件\策略\ Chromium \ ExtensionInstallforcelist HKEY_LOCAL_MACHINE \ Software \ Policies \ Google \ Chrome \ ExtensionInstallforcelist其中强制扩展被计算为注册表值,如下所示:
“1”=“reg_sz”,“lpfpbajbnhddlpljnfndngbkkfkjfna; https://clients2.google.com/service/update2/crx”Chromium文档中关于扩展安装强制列表国家:
指定静默安装的应用程序和扩展程序列表,这些应用程序和扩展程序没有用户交互,用户无法卸载或禁用。
这些劫持者如何在受害者的系统上降落?
我们不完全确定,但我们确实从受影响的Windows系统上的临时文件夹中找到了一些独立安装程序。看起来这些安装人员好像是捆扎机.
受害者通常会看到这样的安装通知:
然后在他们打开Chrome之前,没有任何东西看这个新标签:
“您的浏览器由远程管理员管理”在整个Chrome菜单和设置中分散的评论类型。
搜索劫持者一般
搜索劫持者有不同的风格。基本上,如果你看一下它们的方法,它们可以分为三大类:
- 劫持者将受害者重定向到最好的付费搜索引擎。
- 劫机者将受害者重定向到他们自己的网站,并显示其他赞助广告。
- 在插入或替换赞助广告后,劫机者将受害者重定向到流行的搜索引擎。
到目前为止,最常见的工具是浏览器扩展,无论它们是称为扩展、附加组件还是浏览器辅助对象。但您也会在这里看到不同的方法:
- 该扩展允许劫机者接管作为默认搜索引擎。
- 扩展名作为“newtab”接管,并在该选项卡中显示搜索字段。
- 该扩展获取读取和更改网站上数据的权限。它使用这些权限来更改受害者搜索的结果。
这个家庭是使用自己的网站作为重定向到他们获得的搜索引擎的重定向的那种,并且扩展将占用默认搜索引擎。默认值是用户从地址栏搜索时查询的默认值。
移动
必威平台APPMalwarebytes识别这些劫持者并将其从受影响的系统中移除。您可以在我们的论坛上找到一些删除指南:
以他们推出新产品的速度,很可能会有更多的产品接踵而至。
IOCs
扩展标识符
fhmghdmcgkkdadabbnkmnejhonccccjio(Capita)
lpfpbajbnhddlpljnfndngbkkfkjfna(搜索空间)
fifailmmmlkdabfkkoejgffjdfgbieji(Mazy)
领域
search-space.net
mazysearch.com.
人均空间
defaultsearch.link
大家注意安全!
评论