搜狗输入法通过云控模块暗改浏览器配置
火绒威胁情报中心近期监测到一款专门锁定浏览器主页的病毒正加速蔓延。经溯源,该病毒的源头指向搜狗输入法。搜狗输入法通过Shiply 终端基础发布通用模块,向云端请求控制配置。在下发这些云控配置中,会结合用户画像:例如所在地区、时间等诸多维度进行精准推送。由于 Shiply 平台本身具备灰度发布能力,据此推测,攻击者很可能先通过小范围灰度测试验证效果,再进行大规模传播。该病毒的推广模块会首先检测用户设备上的杀毒软件,随后通过篡改配置文件的方式,强制修改 Edge与 Chrome两款主流浏览器的主页及默认搜索引擎设置。
—— 火绒安全
火绒威胁情报中心近期监测到一款专门锁定浏览器主页的病毒正加速蔓延。经溯源,该病毒的源头指向搜狗输入法。搜狗输入法通过Shiply 终端基础发布通用模块,向云端请求控制配置。在下发这些云控配置中,会结合用户画像:例如所在地区、时间等诸多维度进行精准推送。由于 Shiply 平台本身具备灰度发布能力,据此推测,攻击者很可能先通过小范围灰度测试验证效果,再进行大规模传播。该病毒的推广模块会首先检测用户设备上的杀毒软件,随后通过篡改配置文件的方式,强制修改 Edge与 Chrome两款主流浏览器的主页及默认搜索引擎设置。
—— 火绒安全
