超百万终端感染“幽灵插件”，黑客可操控搜索结果

主要观点总结

奇安信威胁情报中心发现了一个规模巨大的恶意黑客团伙，该团伙通过劫持受害者搜索内容和电商链接等行为，影响全球至少百万级别的终端。文章详细描述了攻击流程和技术细节，包括恶意插件的注入、URL活跃时间、相关域名访问量、恶意DLL注入工具、浏览器扩展加载等。目前，基于奇安信威胁情报数据的全线产品已经支持对此类攻击的精确检测。

关键观点总结

关键观点1: 黑客团伙概况

该黑客团伙从2021年开始活跃，恶意域名在OPENDNS的top 1m列表中，全球受影响的终端至少百万级别。

关键观点2: 攻击流程

攻击者通过上传伪造安装包等方式，将恶意插件隐藏在破解安装包中，等待受害者下载。插件被注入到目标进程后，会释放一系列恶意组件，执行包括域名劫持、浏览器扩展加载等一系列操作。

关键观点3: 技术细节

攻击过程中涉及到了多个技术细节，包括恶意web插件的注入、DLL注入工具的的使用、浏览器扩展的加载和恶意逻辑的控制等。攻击者还利用了大量的URL和域名进行重定向和劫持。

关键观点4: 影响范围

受影响的受害者范围广泛，攻击者的目的是通过劫持链接获取用户的个人信息或者进行广告推广等商业行为。

关键观点5: 检测与防范

目前，奇安信全线产品已经支持对此类攻击的精确检测。同时，用户也需要提高安全意识，避免下载不明来源的安装包，使用安全软件防护等。

免责声明