Extension Trojan Malware
Tuvastati ulatuslik pahavarakampaania. See sihib kasutajaid, installides petturlikke Google Chrome'i ja Microsoft Edge'i laiendusi troojalase kaudu, mida levitatakse populaarse tarkvarana esinevate võltsveebisaitide kaudu. Trooja juurutab mitmesuguseid kasulikke koormusi, alates põhilistest reklaamvaralaienditest, mis kaaperdavad otsinguid, kuni keerukamate ebaturvaliste skriptideni, mis installivad kohalikke laiendusi, mis on mõeldud isikuandmete kogumiseks ja erinevate käskude täitmiseks. See alates 2021. aastast aktiivne troojalane pärineb võltsitud allalaadimise veebisaitidelt, mis pakuvad võrgumängude ja -videote lisandmooduleid.
Sisukord
Sajad tuhanded mõjutatud kasutajad
Pahavara ja sellega seotud laiendused on Google Chrome'is ja Microsoft Edge'is mõjutanud üle 300 000 kasutaja, mis näitab ohu laialdast levikut.
Selle kampaania kesksel kohal on pahatahtliku reklaami kasutamine, et suunata kasutajaid petlikele veebisaitidele, mis jäljendavad tuntud tarkvara, nagu Roblox FPS Unlocker, YouTube, VLC meediapleier, Steam või KeePass. Need saidid meelitavad neid programme otsivaid kasutajaid alla laadima trooja, mis seejärel installib petturlikud brauserilaiendid.
Rikutud installijad, mis on digitaalselt allkirjastatud, seadistavad ajastatud toimingu, mis käivitab PowerShelli skripti. See skript vastutab kaugserverist järgmise etapi kasuliku koormuse allalaadimise ja täitmise eest.
Ründajad installivad ohustatud seadmetesse uusi brausereid
See hõlmab Windowsi registri muutmist, et jõustada laienduste sisestamine Chrome'i veebipoest ja Microsoft Edge'i lisandmoodulitest, mis võivad kaaperdada Google'i ja Microsoft Bingi otsingupäringuid, suunates need ümber ründajate kontrollitavate serverite kaudu.
Laiendus on loodud kustutamatuks isegi siis, kui arendajarežiim on lubatud. Skripti hiljutised versioonid keelavad ka brauseri värskendused. Lisaks juurutab see otse Command-and-Control (C2) serverist alla laaditud kohaliku laienduse, mis on varustatud ulatuslike võimalustega kõigi veebipäringute pealtkuulamiseks, nende serverisse edastamiseks, käskude ja krüptitud skriptide täitmiseks ning skriptide sisestamiseks igale veebilehele.
Lisaks kaaperdab see Ask.com-i, Bingi ja Google'i otsingupäringud, suunates need enne teistele otsingumootoritele edastamist oma serverite kaudu ümber.
Mõjutatud kasutajad peaksid tegutsema
Pahavararünnakust mõjutatud kasutajad peaksid probleemi leevendamiseks võtma järgmised meetmed.
- Kustutage ajastatud toiming, mis taasaktiveerib pahavara iga päev.
- Eemaldage asjakohased registrivõtmed.
- Kustutage süsteemist järgmised failid ja kaustad:
C:\Windows\system32\Privacyblockerwindows.ps1
C:\Windows\system32\Windowsupdater1.ps1
C:\Windows\system32\WindowsUpdater1Script.ps1
C:\Windows\system32\Optimizerwindows.ps1
C:\Windows\system32\Printworkflowservice.ps1
C:\Windows\system32\NvWinSearchOptimizer.ps1 (2024. aasta versioon)
C:\Windows\system32\kondserp_optimizer.ps1 (2024. aasta mai versioon)
C:\Windows\InternalKernelGrid
C:\Windows\InternalKernelGrid3
C:\Windows\InternalKernelGrid4
C:\Windows\ShellServiceLog
C:\windows\privacyprotectorlog
C:\Windows\NvOptimizerLog
Seda tüüpi rünnak pole enneolematu. 2023. aasta detsembris teatati sarnasest kampaaniast, mis hõlmas torrentide kaudu levitatavat Trooja installerit. See installija oli maskeeritud VPN-i rakenduseks, kuid tegelikult oli see loodud "cashback-tegevuse häkkimiseks".
