幽灵插件困扰超过一百万终端，劫持搜索结果和用户数据

奇安信威胁情报中心发现了一项大规模网络攻击，影响了全球超过一百万互联网用户。该攻击活动自 2021 年以来一直活跃，涉及分发一种名为“Ghost Plugin”的恶意浏览器插件。这种阴险的插件会劫持搜索引擎结果、操纵电子商务链接并跟踪用户浏览活动，对在线隐私和安全构成重大威胁。

Ghost插件已经入侵全球系统，影响终端数以百万计。与该行动相关的恶意域名在OpenDNS排名很高，可见其影响范围之广。即便在国内，相关域名的访问量也相当可观。

Ghost 插件的主要功能之一是劫持 Google 搜索结果。通过绕过 Google 的内容安全策略 (CSP) 机制，攻击者将 JavaScript 代码注入搜索页面，操纵显示的结果。这种操纵可以将用户引导至恶意网站或让他们接触到不想要的内容。

除了操纵搜索结果之外，Ghost 插件还会将 JavaScript 代码注入受感染用户访问的任何网站。这样攻击者就可以跟踪受害者的浏览习惯并收集有关其在线活动的宝贵信息。当受害者访问电子商务网站时，恶意代码会拦截并修改链接，可能会将用户重定向到钓鱼页面或旨在窃取财务信息的网站。

攻击者使用复杂的基础设施来支持其行动。域名“overbridgenet.com”起着核心作用，托管各种恶意脚本，并解析为一个包含多个高流量可疑域的 IP 地址。

Ghost 插件通常通过破解的软件安装包进行传播，这些安装包会上传到热门下载网站。一旦受害者下载并执行此类安装包，一系列恶意组件就会被释放到他们的系统中。这些组件协同工作以建立持久性，将恶意代码注入浏览器进程，并最终加载 Ghost 插件。

该插件本身是一个复杂的恶意软件，由各种 JavaScript 文件和后台服务工作进程组成。这些组件协同工作以绕过安全机制、操纵网页并收集用户数据。

攻击者利用各种技术来逃避检测并维持其运营。他们使用混淆来隐藏代码，为合法服务注册自己的 API 密钥以跟踪受害者，甚至禁用浏览器 XSS 保护策略。

奇安信威胁情报中心的报告对Ghost 插件的运行进行了详细分析，包括其攻击路径、技术细节以及对受害者的潜在影响。这些信息对于提高对此类威胁的认识和制定有效的对策至关重要。

强烈建议用户对其在线活动保持警惕，保持软件更新，并避免从不受信任的来源下载文件。

来源：https://securityonline.info/ghost-plugin-plagues-over-a-million-terminals-hijacking-search-results-and-user-data/