확장 트로이 목마 맬웨어

대규모 맬웨어 캠페인이 감지되었습니다. 이는 인기 있는 소프트웨어로 가장한 가짜 웹사이트를 통해 배포된 트로이 목마를 통해 사기성 Google Chrome 및 Microsoft Edge 확장 프로그램을 설치하여 사용자를 표적으로 삼습니다. 이 트로이 목마는 검색을 하이재킹하는 기본 애드웨어 확장 프로그램부터 개인 데이터를 수집하고 다양한 명령을 실행하도록 설계된 로컬 확장 프로그램을 설치하는 보다 진보된 안전하지 않은 스크립트에 이르기까지 다양한 페이로드를 배포합니다. 2021년부터 활동 중인 이 트로이 목마는 온라인 게임 및 비디오용 애드온을 제공하는 위조 다운로드 웹사이트에서 유래합니다.

영향을 받은 수십만 명의 사용자

이 맬웨어와 관련 확장 프로그램은 Google Chrome과 Microsoft Edge에서 30만 명이 넘는 사용자에게 영향을 미쳐 위협이 널리 퍼져 있음을 보여주었습니다.

이 캠페인의 핵심은 Roblox FPS Unlocker, YouTube, VLC 미디어 플레이어, Steam 또는 KeePass와 같은 잘 알려진 소프트웨어를 모방한 사기성 웹사이트로 사용자를 유도하는 멀버타이징을 사용하는 것입니다. 이러한 사이트는 이러한 프로그램을 검색하는 사용자를 속여 트로이 목마를 다운로드하게 한 다음 사기성 브라우저 확장 프로그램을 설치합니다.

디지털 서명된 손상된 설치 프로그램은 PowerShell 스크립트를 트리거하는 예약된 작업을 설정합니다. 이 스크립트는 원격 서버에서 다음 단계 페이로드를 다운로드하고 실행하는 역할을 합니다.

공격자는 손상된 장치에 새로운 브라우저를 설치합니다.

여기에는 Chrome 웹 스토어와 Microsoft Edge 추가 기능의 확장 프로그램을 삽입하도록 Windows 레지스트리를 변경하는 작업이 포함되며, 이를 통해 Google과 Microsoft Bing의 검색 쿼리를 하이재킹하여 공격자가 제어하는 서버로 리디렉션할 수 있습니다.

이 확장 프로그램은 개발자 모드가 활성화되어 있어도 삭제할 수 없도록 설계되었습니다. 최신 버전의 스크립트는 브라우저 업데이트도 비활성화합니다. 또한 모든 웹 요청을 가로채고, 서버로 전달하고, 명령과 암호화된 스크립트를 실행하고, 모든 웹 페이지에 스크립트를 삽입하는 광범위한 기능을 갖춘 C2(Command-and-Control) 서버에서 직접 다운로드한 로컬 확장 프로그램을 배포합니다.

더욱이 Ask.com, Bing, Google의 검색어를 하이재킹하여 다른 검색 엔진으로 전달하기 전에 자사 서버를 거쳐 다시 라우팅합니다.

영향을 받은 사용자는 조치를 취해야 합니다.

맬웨어 공격을 받은 사용자는 문제를 완화하기 위해 다음 단계를 수행해야 합니다.

• 매일 맬웨어를 다시 활성화하는 예약된 작업을 삭제합니다.
• 관련 레지스트리 키를 제거합니다.
• 시스템에서 다음 파일과 폴더를 삭제하세요.

C:\Windows\system32\Privacyblockerwindows.ps1

C:\Windows\system32\Windowsupdater1.ps1

C:\Windows\system32\WindowsUpdater1Script.ps1

C:\Windows\system32\Optimizerwindows.ps1

C:\Windows\system32\Printworkflowservice.ps1

C:\Windows\system32\NvWinSearchOptimizer.ps1(2024버전)

C:\Windows\system32\kondserp_optimizer.ps1(2024년 5월 버전)

C:\Windows\내부커널그리드

C:\Windows\내부커널그리드3

C:\Windows\내부커널그리드4

C:\Windows\셸서비스로그

C:\windows\개인정보보호로그

C:\Windows\NvOptimizerLog

이런 유형의 공격은 전례가 없습니다. 2023년 12월, 토렌트를 통해 배포된 트로이 목마 설치 프로그램과 관련된 유사한 캠페인이 보고되었습니다. 이 설치 프로그램은 VPN 앱으로 위장했지만 실제로는 '캐시백 활동 해킹'을 실행하도록 설계되었습니다.