Extension Trojan Malware

یک کمپین بدافزار در مقیاس بزرگ شناسایی شده است. این برنامه با نصب افزونه های تقلبی Google Chrome و Microsoft Edge از طریق یک تروجان توزیع شده از طریق وب سایت های جعلی که به عنوان نرم افزار محبوب معرفی می شوند، کاربران را هدف قرار می دهد. تروجان طیفی از محموله‌ها را به کار می‌گیرد، از برنامه‌های افزودنی اولیه ابزارهای تبلیغاتی مزاحم که جستجوها را ربوده تا اسکریپت‌های ناامن پیشرفته‌تر که برنامه‌های افزودنی محلی را نصب می‌کنند که برای جمع‌آوری داده‌های شخصی و اجرای دستورات مختلف طراحی شده‌اند. این تروجان که از سال 2021 فعال است، از وب‌سایت‌های دانلود تقلبی که افزونه‌هایی برای بازی‌ها و ویدیوهای آنلاین ارائه می‌دهند، سرچشمه می‌گیرد.

صدها هزار کاربر تحت تأثیر

این بدافزار و افزونه های مرتبط با آن بیش از 300000 کاربر را در گوگل کروم و مایکروسافت اج تحت تأثیر قرار داده است و ماهیت گسترده این تهدید را نشان می دهد.

محور اصلی این کمپین، استفاده از تبلیغات بد برای هدایت کاربران به وب سایت های فریبنده است که از نرم افزارهای معروفی مانند Roblox FPS Unlocker، YouTube، پخش کننده رسانه VLC، Steam یا KeePass تقلید می کنند. این سایت‌ها کاربرانی را که در جستجوی این برنامه‌ها هستند فریب می‌دهند تا یک تروجان دانلود کنند، که سپس افزونه‌های جعلی مرورگر را نصب می‌کند.

نصب‌کننده‌های خراب، که به‌صورت دیجیتالی امضا شده‌اند، یک کار زمان‌بندی شده را تنظیم می‌کنند که یک اسکریپت PowerShell را راه‌اندازی می‌کند. این اسکریپت مسئول بارگیری و اجرای مرحله بعدی از یک سرور راه دور است.

مهاجمان مرورگرهای جدیدی را روی دستگاه‌های در معرض خطر نصب می‌کنند

این شامل تغییر رجیستری ویندوز برای درج برنامه‌های افزودنی از فروشگاه وب کروم و افزونه‌های مایکروسافت اج است که می‌توانند درخواست‌های جستجو در Google و مایکروسافت بینگ را ربوده و آنها را از طریق سرورهایی که توسط مهاجمان کنترل می‌شوند هدایت کنند.

برنامه افزودنی به گونه ای طراحی شده است که حتی با فعال بودن حالت برنامه نویس، غیرقابل حذف باشد. نسخه های اخیر اسکریپت نیز به روز رسانی مرورگر را غیرفعال می کند. علاوه بر این، یک برنامه افزودنی محلی را مستقر می کند که مستقیماً از یک سرور Command-and-Control (C2) دانلود می شود، مجهز به قابلیت های گسترده برای رهگیری تمام درخواست های وب، انتقال آنها به سرور، اجرای دستورات و اسکریپت های رمزگذاری شده و تزریق اسکریپت ها به هر صفحه وب.

علاوه بر این، درخواست‌های جستجو را از Ask.com، Bing و Google ربوده و آنها را از طریق سرورهای خود قبل از ارسال به سایر موتورهای جستجو تغییر مسیر می‌دهد.

کاربران آسیب دیده باید اقدام کنند

کاربرانی که تحت تأثیر حمله بدافزار قرار گرفته اند باید اقدامات زیر را برای کاهش این مشکل انجام دهند:

• وظیفه برنامه ریزی شده ای را که روزانه بدافزار را دوباره فعال می کند حذف کنید.
• کلیدهای رجیستری مربوطه را حذف کنید.
• فایل ها و پوشه های زیر را از سیستم حذف کنید:

C:\Windows\system32\Privacyblockerwindows.ps1

C:\Windows\system32\Windowsupdater1.ps1

C:\Windows\system32\WindowsUpdater1Script.ps1

C:\Windows\system32\Optimizerwindows.ps1

C:\Windows\system32\Printworkflowservice.ps1

C:\Windows\system32\NvWinSearchOptimizer.ps1 (نسخه 2024)

C:\Windows\system32\kondserp_optimizer.ps1 (نسخه مه 2024)

C:\Windows\InternalKernelGrid

C:\Windows\InternalKernelGrid3

C:\Windows\InternalKernelGrid4

C:\Windows\ShellServiceLog

C:\windows\privacyprotectorlog

C:\Windows\NvOptimizerLog

این نوع حمله بی سابقه نیست. در دسامبر 2023، کمپین مشابهی گزارش شد که شامل نصب کننده تروجان از طریق تورنت ها بود. این نصب‌کننده به‌عنوان یک برنامه VPN پنهان شده بود، اما در واقع برای اجرای «هک فعالیت بازگشت نقدی» طراحی شده بود.