Rozšíření Trojan Malware
Byla zjištěna rozsáhlá malwarová kampaň. Zaměřuje se na uživatele instalací podvodných rozšíření Google Chrome a Microsoft Edge prostřednictvím trojského koně distribuovaného prostřednictvím falešných webových stránek vydávajících se za populární software. Trojský kůň nasazuje řadu užitečných zátěží, od základních adwarových rozšíření, která unášejí vyhledávání, až po pokročilejší nebezpečné skripty, které instalují místní rozšíření určená ke sběru osobních dat a provádění různých příkazů. Tento trojský kůň, aktivní od roku 2021, pochází z padělaných webových stránek ke stažení nabízejících doplňky pro online hry a videa.
Obsah
Stovky tisíc dotčených uživatelů
Malware a jeho přidružená rozšíření zasáhly více než 300 000 uživatelů v prohlížečích Google Chrome a Microsoft Edge, což dokazuje rozšířenou povahu hrozby.
Ústředním bodem této kampaně je použití malvertisingu k nasměrování uživatelů na klamavé webové stránky, které napodobují známý software, jako je Roblox FPS Unlocker, YouTube, VLC media player, Steam nebo KeePass. Tyto stránky oklamou uživatele hledající tyto programy, aby si stáhli trojského koně, který pak nainstaluje podvodná rozšíření prohlížeče.
Poškozené instalační programy, které jsou digitálně podepsané, nastaví naplánovanou úlohu, která spustí skript PowerShellu. Tento skript je zodpovědný za stahování a spouštění dat další fáze ze vzdáleného serveru.
Útočníci instalují na napadená zařízení nové prohlížeče
To zahrnuje změnu registru Windows, aby bylo možné vynutit vkládání rozšíření z Internetového obchodu Chrome a doplňků Microsoft Edge, které mohou unést vyhledávací dotazy na Googlu a Microsoft Bing a přesměrovat je přes servery ovládané útočníky.
Rozšíření je navrženo tak, aby bylo nesmazatelné, i když je povolen režim vývojáře. Nejnovější verze skriptu také zakazují aktualizace prohlížeče. Kromě toho nasazuje místní rozšíření stažené přímo ze serveru Command-and-Control (C2), vybavené rozsáhlými možnostmi pro zachycení všech webových požadavků, jejich předání na server, spouštění příkazů a šifrovaných skriptů a vkládání skriptů na každou webovou stránku.
Kromě toho unese vyhledávací dotazy z Ask.com, Bing a Google, přesměruje je přes své servery, než je předá jiným vyhledávačům.
Dotčení uživatelé by měli jednat
Uživatelé zasažení malwarovým útokem by měli ke zmírnění problému podniknout následující kroky:
- Odstraňte naplánovanou úlohu, která denně znovu aktivuje malware.
- Odeberte příslušné klíče registru.
- Odstraňte ze systému následující soubory a složky:
C:\Windows\system32\Privacyblockerwindows.ps1
C:\Windows\system32\Windowsupdater1.ps1
C:\Windows\system32\WindowsUpdater1Script.ps1
C:\Windows\system32\Optimizerwindows.ps1
C:\Windows\system32\Printworkflowservice.ps1
C:\Windows\system32\NvWinSearchOptimizer.ps1 (verze 2024)
C:\Windows\system32\kondserp_optimizer.ps1 (verze z května 2024)
C:\Windows\InternalKernelGrid
C:\Windows\InternalKernelGrid3
C:\Windows\InternalKernelGrid4
C:\Windows\ShellServiceLog
C:\windows\privacyprotectorlog
C:\Windows\NvOptimizerLog
Tento typ útoku není bezprecedentní. V prosinci 2023 byla hlášena podobná kampaň, která zahrnovala instalátor trojského koně distribuovaného přes torrenty. Tento instalační program byl maskován jako aplikace VPN, ale ve skutečnosti byl navržen tak, aby provedl „hackování aktivity cashback“.
