Extension Trojan Malware
Aptikta didelio masto kenkėjiškų programų kampanija. Jis skirtas naudotojams įdiegiant nesąžiningus „Google Chrome“ ir „Microsoft Edge“ plėtinius per Trojos arklys, platinamas netikrose svetainėse, kurios pristatomos kaip populiari programinė įranga. Trojos arklys diegia daugybę naudingų apkrovų – nuo pagrindinių reklaminių programų plėtinių, kurie užgrobia paieškas, iki sudėtingesnių nesaugių scenarijų, įdiegiančių vietinius plėtinius, skirtus asmens duomenims rinkti ir įvairioms komandoms vykdyti. Šis Trojos arklys, aktyvus nuo 2021 m., kilęs iš padirbtų atsisiuntimų svetainių, kuriose siūlomi internetinių žaidimų ir vaizdo įrašų priedai.
Turinys
Šimtai tūkstančių paveiktų vartotojų
Kenkėjiška programa ir su ja susiję plėtiniai paveikė daugiau nei 300 000 „Google Chrome“ ir „Microsoft Edge“ naudotojų, parodydami plačiai paplitusią grėsmės pobūdį.
Svarbiausia šioje kampanijoje yra piktnaudžiavimas nukreipiant vartotojus į apgaulingas svetaines, kurios imituoja gerai žinomą programinę įrangą, pvz., Roblox FPS Unlocker, YouTube, VLC media player, Steam ar KeePass. Šios svetainės verčia vartotojus, ieškančius šių programų, atsisiųsti Trojos arklys, kuris vėliau įdiegia nesąžiningus naršyklės plėtinius.
Sugadinti diegimo programos, pasirašytos skaitmeniniu būdu, nustato suplanuotą užduotį, kuri suaktyvina PowerShell scenarijų. Šis scenarijus yra atsakingas už kito etapo naudingosios apkrovos atsisiuntimą ir vykdymą iš nuotolinio serverio.
Užpuolikai įdiegia naujas naršykles pažeistuose įrenginiuose
Tai apima „Windows“ registro pakeitimą, kad būtų galima įterpti plėtinius iš „Chrome“ internetinės parduotuvės ir „Microsoft Edge“ priedų, kurie gali užgrobti „Google“ ir „Microsoft Bing“ paieškos užklausas, nukreipdami jas per serverius, kuriuos valdo užpuolikai.
Plėtinys sukurtas taip, kad jo negalima ištrinti, net jei įjungtas kūrėjo režimas. Naujausios scenarijaus versijos taip pat išjungia naršyklės naujinimus. Be to, jis diegia vietinį plėtinį, atsisiųstą tiesiai iš komandų ir valdymo (C2) serverio, turintis daug galimybių perimti visas žiniatinklio užklausas, perduoti jas serveriui, vykdyti komandas ir užšifruotus scenarijus bei įterpti scenarijus į kiekvieną tinklalapį.
Be to, jis užgrobia paieškos užklausas iš Ask.com, Bing ir Google, nukreipdamas jas per savo serverius prieš perduodamas kitoms paieškos sistemoms.
Paveikti vartotojai turėtų imtis veiksmų
Naudotojai, kuriuos paveikė kenkėjiškų programų ataka, turėtų imtis šių veiksmų, kad sumažintų problemą:
- Ištrinkite suplanuotą užduotį, kuri kasdien iš naujo suaktyvina kenkėjišką programą.
- Pašalinkite atitinkamus registro raktus.
- Iš sistemos ištrinkite šiuos failus ir aplankus:
C:\Windows\system32\Privacyblockerwindows.ps1
C:\Windows\system32\Windowsupdater1.ps1
C:\Windows\system32\WindowsUpdater1Script.ps1
C:\Windows\system32\Optimizerwindows.ps1
C:\Windows\system32\Printworkflowservice.ps1
C:\Windows\system32\NvWinSearchOptimizer.ps1 (2024 m. versija)
C:\Windows\system32\kondserp_optimizer.ps1 (2024 m. gegužės mėn. versija)
C:\Windows\InternalKernelGrid
C:\Windows\InternalKernelGrid3
C:\Windows\InternalKernelGrid4
C:\Windows\ShellServiceLog
C:\windows\privacyprotectorlog
C:\Windows\NvOptimizerLog
Tokio tipo atakos nėra precedento. 2023 m. gruodžio mėn. buvo pranešta apie panašią kampaniją, kurioje dalyvavo Trojos arklys, platinamas per torrentus. Ši diegimo programa buvo užmaskuota kaip VPN programa, bet iš tikrųjų buvo sukurta atlikti „grynųjų pinigų grąžinimo veiklos įsilaužimą“.
