慢雾：警惕浏览器历史记录污染攻击，恶意软件攻击再次抬头

慢雾近期披露的浏览器历史记录污染攻击，揭示了网络钓鱼手段的一种令人不安的进化。攻击者不再完全依赖用户误点恶意链接，而是转向污染用户本地的浏览器环境。其核心在于，浏览器自动补全功能所依赖的历史记录被恶意篡改。当用户尝试访问正确域名时，浏览器会优先建议或跳转到攻击者预设的钓鱼域名。这种攻击之所以隐蔽，是因为它利用了用户对自身浏览器行为的信任，即便输入完全正确，防御也可能在瞬间被绕过。

污染路径通常是精心设计的。攻击者通过广告、社交媒体上的虚假公告或所谓的“官方更新”诱导用户点击一次链接。这次点击就足以将钓鱼域名植入浏览器的历史记录或自动补全数据库中，为后续攻击埋下伏笔。钓鱼网站往往是对官方站点的像素级复制，进一步降低了用户的戒心。

结合相关案例来看，这种手法是更广泛的恶意软件攻击浪潮的一部分。攻击者的终极目标往往是植入窃密程序，如Mystic Stealer这类恶意软件，它们能系统性地窃取浏览器中存储的密码、Cookie、扩展程序数据以及加密货币钱包信息。一旦设备被植入此类恶意软件，所有与钱包相关的密钥和助记词都将面临直接威胁。

从防御角度看，这要求用户和安全从业者改变传统的“仅验证URL”的思维定式。建议采取多层防御策略：定期手动清除浏览器历史记录与自动补全数据；对重要操作使用隐私模式/无痕窗口，因其会话隔离特性可避免历史记录污染；优先使用书签访问关键站点；并部署可靠的安全软件进行实时防护。

本质上，这是攻击链条的前移。攻击者认识到直接突破大型交易所或钱包服务商的安全防线愈发困难，于是将焦点转向防护相对薄弱的终端用户。从假钱包App、恶意浏览器扩展，到日历中的恶意链接，再到现在的历史记录污染，攻击媒介在不断演变，但核心目标始终是窃取用户的私钥和凭证。在加密世界的黑暗森林中，这种对用户环境和心理的精细化利用，标志着攻击策略正变得更为成熟和难以防范。