Extension Trojan Malware
Nagyszabású kártevő kampányt észleltek. A felhasználókat úgy célozza meg, hogy csalárd Google Chrome- és Microsoft Edge-bővítményeket telepít egy trójai programon keresztül, amelyet népszerű szoftvernek tűnő hamis webhelyeken terjesztenek. A trójai számos hasznos adatot telepít, az alapvető reklámprogram-bővítményektől, amelyek eltérítik a keresést, a fejlettebb, nem biztonságos szkriptekig, amelyek helyi bővítményeket telepítenek személyes adatok begyűjtésére és különféle parancsok végrehajtására. Ez a 2021 óta működő trójai olyan hamisítványokat letöltő webhelyekről származik, amelyek online játékokhoz és videókhoz kínálnak kiegészítőket.
Tartalomjegyzék
Több százezer érintett felhasználó
A rosszindulatú program és a hozzá tartozó bővítmények több mint 300 000 felhasználót érintettek a Google Chrome-ban és a Microsoft Edge-ben, ami jól mutatja a fenyegetés széles körben elterjedt természetét.
Ebben a kampányban központi szerepet játszik a rosszindulatú hirdetések használata, amelyek olyan megtévesztő webhelyekre irányítják a felhasználókat, amelyek olyan jól ismert szoftvereket utánoznak, mint a Roblox FPS Unlocker, YouTube, VLC médialejátszó, Steam vagy KeePass. Ezek a webhelyek ráveszik az ilyen programokat kereső felhasználókat, hogy letöltsenek egy trójai programot, amely aztán telepíti a csaló böngészőbővítményeket.
A digitálisan aláírt sérült telepítők beállítanak egy ütemezett feladatot, amely PowerShell-szkriptet indít el. Ez a szkript felelős a távoli kiszolgálóról származó következő lépcsős rakomány letöltéséért és végrehajtásáért.
A támadók új böngészőket telepítenek a feltört eszközökre
Ez magában foglalja a Windows beállításjegyzékének módosítását, hogy kikényszerítse a Chrome Internetes áruházból és a Microsoft Edge-bővítményekből származó bővítmények beillesztését, amelyek eltéríthetik a Google és a Microsoft Bing keresési lekérdezéseit, átirányítva azokat a támadók által irányított szervereken.
A bővítményt úgy tervezték, hogy még akkor is törölhetetlen legyen, ha a Fejlesztői mód engedélyezve van. A szkript legújabb verziói a böngészőfrissítéseket is letiltják. Ezenkívül telepít egy helyi bővítményt, amelyet közvetlenül egy Command-and-Control (C2) szerverről töltenek le, és amely kiterjedt képességekkel rendelkezik az összes webkérés elfogására, a kiszolgálóra való továbbítására, parancsok és titkosított szkriptek végrehajtására, valamint szkriptek beszúrására minden weboldalra.
Ezenkívül eltéríti az Ask.com, a Bing és a Google keresési lekérdezéseit, és átirányítja azokat a szerverein, mielőtt továbbadná őket más keresőmotoroknak.
Az érintett felhasználóknak intézkedniük kell
A kártevő támadás által érintett felhasználóknak a következő lépéseket kell tenniük a probléma enyhítésére:
- Törölje az ütemezett feladatot, amely naponta újraaktiválja a rosszindulatú programot.
- Távolítsa el a megfelelő rendszerleíró kulcsokat.
- Törölje a következő fájlokat és mappákat a rendszerből:
C:\Windows\system32\Privacyblockerwindows.ps1
C:\Windows\system32\Windowsupdater1.ps1
C:\Windows\system32\WindowsUpdater1Script.ps1
C:\Windows\system32\Optimizerwindows.ps1
C:\Windows\system32\Printworkflowservice.ps1
C:\Windows\system32\NvWinSearchOptimizer.ps1 (2024-es verzió)
C:\Windows\system32\kondserp_optimizer.ps1 (2024. májusi verzió)
C:\Windows\InternalKernelGrid
C:\Windows\InternalKernelGrid3
C:\Windows\InternalKernelGrid4
C:\Windows\ShellServiceLog
C:\windows\privacyprotectorlog
C:\Windows\NvOptimizerLog
Ez a fajta támadás nem példa nélküli. 2023 decemberében egy hasonló kampányról számoltak be, amelyben egy torrenteken keresztül terjesztett trójai telepítő vett részt. Ezt a telepítőt VPN-alkalmazásnak álcázták, de valójában a „cashback tevékenység hack” végrehajtására tervezték.
