Extension Trojan Malware
זוהה קמפיין תוכנה זדוני בקנה מידה גדול. הוא מכוון למשתמשים על ידי התקנת הרחבות הונאה של Google Chrome ו-Microsoft Edge באמצעות סוס טרויאני המופץ דרך אתרים מזויפים המתחזות לתוכנה פופולרית. הטרויאני פורס מגוון של מטענים, החל מתוספי פרסום בסיסיים שחוטפים חיפושים ועד לסקריפטים לא בטוחים מתקדמים יותר המתקינים הרחבות מקומיות שנועדו לאסוף נתונים אישיים ולבצע פקודות שונות. הטרויאני הזה, פעיל מאז 2021, מקורו באתרי הורדות מזויפים המציעים תוספות למשחקים וסרטונים מקוונים.
תוכן העניינים
מאות אלפי משתמשים מושפעים
התוכנה הזדונית וההרחבות הקשורות לה השפיעו על למעלה מ-300,000 משתמשים ב-Google Chrome ו-Microsoft Edge, מה שמוכיח את האופי הנרחב של האיום.
מרכזי במסע פרסום זה הוא השימוש ב-malvertising כדי להפנות משתמשים לאתרי אינטרנט מטעים המחקים תוכנות ידועות כמו Roblox FPS Unlocker, YouTube, VLC media player, Steam או KeePass. אתרים אלה מרמים משתמשים שמחפשים את התוכנות הללו כדי להוריד סוס טרויאני, אשר לאחר מכן מתקין את הרחבות הדפדפן המזויפות.
המתקינים הפגומים, החתומים דיגיטלית, מגדירים משימה מתוזמנת שמפעילה סקריפט PowerShell. סקריפט זה אחראי על הורדה וביצוע של מטען השלב הבא משרת מרוחק.
תוקפים מתקינים דפדפנים חדשים במכשירים שנפגעו
זה כרוך בשינוי הרישום של Windows כדי לאכוף את הכנסת הרחבות מחנות האינטרנט של Chrome ותוספות Microsoft Edge, שיכולות לחטוף שאילתות חיפוש ב-Google ו-Microsoft Bing, ולהפנות אותן דרך שרתים הנשלטים על ידי התוקפים.
התוסף מיועד לבלתי ניתן למחיקה, אפילו כשמצב מפתחים מופעל. גרסאות אחרונות של הסקריפט משביתות גם את עדכוני הדפדפן. בנוסף, הוא פורס הרחבה מקומית שהורדה ישירות משרת Command-and-Control (C2), המצוידת ביכולות נרחבות ליירט את כל בקשות האינטרנט, להעביר אותן לשרת, לבצע פקודות וסקריפטים מוצפנים ולהחדיר סקריפטים לכל דף אינטרנט.
יתר על כן, הוא חוטף שאילתות חיפוש מ-Ask.com, Bing ו-Google, ומנתב אותן דרך השרתים שלה לפני שהוא מעביר אותן למנועי חיפוש אחרים.
משתמשים מושפעים צריכים לנקוט בפעולה
משתמשים שהושפעו מהתקפת תוכנה זדונית צריכים לנקוט בצעדים הבאים כדי להקל על הבעיה:
- מחק את המשימה המתוזמנת שמפעילה מחדש את התוכנה הזדונית מדי יום.
- הסר את מפתחות הרישום הרלוונטיים.
- מחק את הקבצים והתיקיות הבאים מהמערכת:
C:\Windows\system32\Privacyblockerwindows.ps1
C:\Windows\system32\Windowsupdater1.ps1
C:\Windows\system32\WindowsUpdater1Script.ps1
C:\Windows\system32\Optimizerwindows.ps1
C:\Windows\system32\Printworkflowservice.ps1
C:\Windows\system32\NvWinSearchOptimizer.ps1 (גרסת 2024)
C:\Windows\system32\kondserp_optimizer.ps1 (גרסת מאי 2024)
C:\Windows\InternalKernelGrid
C:\Windows\InternalKernelGrid3
C:\Windows\InternalKernelGrid4
C:\Windows\ShellServiceLog
C:\windows\privacyprotectorlog
C:\Windows\NvOptimizerLog
התקפה מסוג זה אינה חסרת תקדים. בדצמבר 2023 דווח על קמפיין דומה, הכולל מתקין טרויאני שהופץ באמצעות טורנטים. מתקין זה היה מחופש לאפליקציית VPN אך למעשה תוכנן לבצע 'פריצת פעילות מזומנים'.
