奇安信威胁情报中心红滴(RedDrip)团队监测到一起大规模恶意软件传播事件,恶意程序藏身于一款国内热门办公效率工具中。这款名为 “Office 助手” 的软件,因具备 AI 文档生成及各类办公辅助功能而在国内被广泛使用,如今却被发现会加载恶意组件,投放一款名为Mltab的浏览器劫持插件。
据悉,该恶意攻击活动至少从 2024 年 5 月起就已悄然活跃,受影响终端数量接近百万台,一款原本备受信赖的办公帮手就此沦为窃取用户信息的数字间谍。
此次攻击的阴险之处在于,攻击者盗用合法的数字签名来掩盖恶意行为。调查结果显示,这款 “Office 助手” 软件的进程会 **“加载带有合法签名的恶意组件,进而投放 Mltab 浏览器插件”**。
该插件一旦安装便会脱离正常控制,其核心恶意行为包括 **“收集用户信息并劫持用户网络流量”**,既实现对受害者线上行为的全面监控,又通过篡改搜索跳转链接牟取非法利益。
仅这款恶意浏览器插件的安装量就已突破 21 万次,更令人震惊的是,“截至本报告发布时,该插件仍未从微软 Edge 浏览器官方插件商店中下架”。
该攻击活动的基础设施同样部署严密。指挥控制(C2)服务器是整个攻击链条的核心中枢,
fh67k.com、eybyyffs.com、cjtab.com等相关恶意域名,均位列 OpenDNS 全球域名流量排名前百万,这一数据足以证明其流量规模庞大,也侧面印证了攻击活动的高度组织化与专业性。研究人员精准定位了这款软件 “黑化” 的具体版本节点:2024 年 5 月 28 日发布的 Office 助手 3.1.10.1 版本,新增了一项此前版本中从未出现的 **“下载器逻辑”**。
这一隐藏代码会主动请求连接 C2 恶意域名
ofsd.fh67k.com,并释放一个名为 OfficeTeamAddin.dll 的动态链接库文件。该文件看似是软件套件的合法组成部分,但数字签名却暴露了其恶意本质 —— 官方软件的签名主体为 **“北京云动智效”**,而这款恶意 DLL 文件的签名则来自 “Ample Digital Limited” 和 “Hangil IT Co., Ltd” 等机构,且这些数字证书均已被吊销。Mltab 插件完成植入后,便会通过劫持用户浏览行为变现牟利。它会从远程服务器获取一个名为
MLNewtab.dat 的配置文件,并依据该文件的指令,将网页中的合法链接替换为能产生收益的恶意跳转链接。报告中指出:“攻击者会根据服务器返回的配置文件,将其控制的恶意域名加入白名单。” 攻击目标涵盖百度、好 123、京东等国内主流网站,具体手段为将这些网站的导航链接与图标替换为被劫持的版本。
这款恶意软件的劫持行为甚至延伸到浏览器的核心功能:它会篡改浏览器 **“新标签页”** 界面,并强行添加一个 “使用百度搜索” 的右键菜单选项,将用户的所有搜索请求导向带有追踪功能的恶意链接。
为实现长期驻留,恶意软件还采用了多种巧妙的反查杀规避手段。它会等待特定触发条件(如软件更新)生成唯一用户标识,随后开始上传用户行为日志;同时篡改浏览器的 “安全首选项” 文件,锁定被劫持的浏览器设置,导致用户难以重置主页与默认搜索引擎。
奇安信旗下终端防护产品天擎已完成版本更新,可有效检测并清除这类名为 Trojan.MPE.Mltab 的恶意组件。安全人员强烈建议 “Office 助手” 用户立即对系统进行全面扫描,并检查浏览器扩展程序,及时卸载 “MadaoL Newtab” 插件及其他来历不明的附加组件。
发表评论
您还未登录,请先登录。
登录