Paplašinājuma Trojas ļaunprātīga programmatūra
Konstatēta liela mēroga ļaunprātīgas programmatūras kampaņa. Tā mērķauditorija ir lietotāji, instalējot krāpnieciskus Google Chrome un Microsoft Edge paplašinājumus, izmantojot Trojas zirgu, kas tiek izplatīts viltotās vietnēs, kas izliekas kā populāra programmatūra. Trojas zirgs izvieto virkni lietderīgās slodzes, sākot no pamata reklāmprogrammatūras paplašinājumiem, kas nolaupa meklēšanu, līdz sarežģītākiem nedrošiem skriptiem, kas instalē vietējos paplašinājumus, kas paredzēti personas datu iegūšanai un dažādu komandu izpildei. Šis Trojas zirgs, kas darbojas kopš 2021. gada, ir cēlies no viltotu lejupielādes vietnēm, kas piedāvā tiešsaistes spēļu un video papildinājumus.
Satura rādītājs
Simtiem tūkstošu ietekmēto lietotāju
Ļaunprātīga programmatūra un ar to saistītie paplašinājumi ir skāruši vairāk nekā 300 000 lietotāju pārlūkprogrammās Google Chrome un Microsoft Edge, parādot draudu plaši izplatīto raksturu.
Galvenais šajā kampaņā ir ļaunprātīgas reklāmas izmantošana, lai novirzītu lietotājus uz maldinošām vietnēm, kas atdarina labi zināmu programmatūru, piemēram, Roblox FPS Unlocker, YouTube, VLC multivides atskaņotāju, Steam vai KeePass. Šīs vietnes liek lietotājiem, kuri meklē šīs programmas, lejupielādēt Trojas zirgu, kas pēc tam instalē krāpnieciskos pārlūkprogrammas paplašinājumus.
Bojātie instalētāji, kas ir digitāli parakstīti, iestata ieplānotu uzdevumu, kas aktivizē PowerShell skriptu. Šis skripts ir atbildīgs par nākamās pakāpes derīgās slodzes lejupielādi un izpildi no attālā servera.
Uzbrucēji apdraudētajās ierīcēs instalē jaunas pārlūkprogrammas
Tas ietver Windows reģistra izmaiņas, lai nodrošinātu paplašinājumu ievietošanu no Chrome interneta veikala un Microsoft Edge pievienojumprogrammām, kas var nolaupīt meklēšanas vaicājumus pakalpojumā Google un Microsoft Bing, novirzot tos caur serveriem, kurus kontrolē uzbrucēji.
Paplašinājums ir izveidots tā, lai to nevarētu izdzēst, pat ja ir iespējots izstrādātāja režīms. Jaunākās skripta versijas arī atspējo pārlūkprogrammas atjauninājumus. Turklāt tas izvieto lokālo paplašinājumu, kas lejupielādēts tieši no Command-and-Control (C2) servera un ir aprīkots ar plašām iespējām, lai pārtvertu visus tīmekļa pieprasījumus, pārsūtītu tos uz serveri, izpildītu komandas un šifrētus skriptus un ievadītu skriptus katrā Web lapā.
Turklāt tas nolaupa meklēšanas vaicājumus no Ask.com, Bing un Google, pāradresējot tos caur saviem serveriem, pirms tos nodod citām meklētājprogrammām.
Ietekmētajiem lietotājiem ir jārīkojas
Lietotājiem, kurus skāris ļaunprātīgas programmatūras uzbrukums, ir jāveic šādas darbības, lai mazinātu problēmu.
- Izdzēsiet ieplānoto uzdevumu, kas katru dienu atkārtoti aktivizē ļaunprātīgu programmatūru.
- Noņemiet attiecīgās reģistra atslēgas.
- Izdzēsiet no sistēmas šādus failus un mapes:
C:\Windows\system32\Privacyblockerwindows.ps1
C:\Windows\system32\Windowsupdater1.ps1
C:\Windows\system32\WindowsUpdater1Script.ps1
C:\Windows\system32\Optimizerwindows.ps1
C:\Windows\system32\Printworkflowservice.ps1
C:\Windows\system32\NvWinSearchOptimizer.ps1 (2024. gada versija)
C:\Windows\system32\kondserp_optimizer.ps1 (2024. gada maija versija)
C:\Windows\InternalKernelGrid
C:\Windows\InternalKernelGrid3
C:\Windows\InternalKernelGrid4
C:\Windows\ShellServiceLog
C:\windows\privacyprotectorlog
C:\Windows\NvOptimizerLog
Šāda veida uzbrukums nav bezprecedenta. 2023. gada decembrī tika ziņots par līdzīgu kampaņu, kurā bija iesaistīts Trojas zirgu instalētājs, kas tika izplatīts caur straumēm. Šī instalēšanas programma tika slēpta kā VPN lietotne, taču patiesībā tā bija paredzēta naudas atmaksas darbības uzlaušanai.
