文章总结： 研究人员披露一场利用超3万个域名分发伪装AI浏览器插件的大规模恶意活动。核心插件OmniBar通过劫持搜索流量并预留远程开关，能随时切换至钓鱼或病毒载荷，且因伪装合法难以被传统检测发现。文章详细分析了其洋葱式分发网络与隐蔽劫持机制，列出同开发者高风险插件清单，并提供关键恶意域名与插件ID等IoCs，建议立即卸载排查。 综合评分： 85 文章分类： 威胁情报,恶意软件,终端安全

警惕：超 3 万个恶意域名正绕过检测，分发“人工智能”浏览器插件

TtTeam

2026年3月12日 14:52 中国香港

研究人员近期发现了一场规模巨大的恶意活动。攻击者利用超过 3 万个域名构成的重定向网络，诱导用户安装伪装成“AI 搜索辅助”的浏览器插件。这些插件不仅劫持用户的搜索流量，还具备随时切换至钓鱼或病毒载荷的“远程开关”。

1. 规模宏大的“洋葱式”分发网络

该活动最显著的特点是其复杂的分发链。攻击者控制了 30,000+ 个看似无关的域名（如 propertyusainc[.]org、biilliger-fliegen[.]de 等），通过多层重定向，最终将用户引向恶意着陆页 ansiblealgorithm[.]com。

研究人员通过追踪 URL 中的 utm_campaign 参数发现，这极有可能是一场大规模的**联署营销（Affiliate Marketing）**骗局，通过非法手段获取流量并实现变现。

2. 伪装成“正常功能”的劫持行为

核心恶意插件名为 “OmniBar AI Chat and Search”。与传统的暴力破坏不同，它的危险在于其“隐蔽的合法性”：

首页篡改： 利用 Chrome 的设置覆盖 API，强制将主页设为 omnibar[.]ai。

搜索拦截： 插件通过 background.js 拦截用户在地址栏输入的任何内容，并将其重定向至攻击者控制的接口。

心理防御： 插件的行为与其在 Web Store 上的描述高度一致。由于它确实提供了“AI 功能”（跳转至合法的 AI 页面），普通用户很难察觉自己已被劫持，从而避开了传统的安全行为检测。

专家警告： 攻击者目前将流量引向合法的搜索引擎以建立信任。但由于他们控制着中间 API 节点，他们拥有一个**“远程开关”**，可以随时在不更新插件代码的情况下，将数万名用户的一键重定向至钓鱼网站或恶意软件下载点。

3. 同一开发者名下的“高风险插件”清单

随着调查深入，研究人员发现该开发者旗下的多款插件均存在恶意行为。如果你的浏览器安装了以下任何一款，请立即卸载：

4. 安全建议与指标 (IoCs)

为了保护个人及企业网络安全，请参考以下技术指标进行排查：

关键恶意域名

ansiblealgorithm[.]com (分发中心)go.omnibar[.]ai (劫持接口)aiconnect.chromiumextensions[.]com

重点插件 ID

ajfanjhcdgaohcbphpaceglgpgaaohodeeoonfhmbjlmienmmbgapfloddpmoalhmkkfklcadlnkhgapjeejemflhamcdjld

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：TtTeam 《警惕：超 3 万个恶意域名正绕过检测，分发“人工智能”浏览器插件》