Utvidelse Trojan Malware
En storstilt malware-kampanje er oppdaget. Den retter seg mot brukere ved å installere falske Google Chrome- og Microsoft Edge-utvidelser gjennom en trojaner distribuert via falske nettsteder som utgir seg for å være populær programvare. Trojaneren distribuerer en rekke nyttelaster, fra grunnleggende adware-utvidelser som kaprer søk til mer avanserte usikre skript som installerer lokale utvidelser designet for å samle inn personlige data og utføre ulike kommandoer. Denne trojaneren, aktiv siden 2021, stammer fra falske nedlastingsnettsteder som tilbyr tillegg for online spill og videoer.
Innholdsfortegnelse
Hundretusenvis av berørte brukere
Skadevaren og tilhørende utvidelser har påvirket over 300 000 brukere på Google Chrome og Microsoft Edge, noe som viser trusselens utbredte natur.
Sentralt i denne kampanjen er bruken av malvertising for å lede brukere til villedende nettsteder som etterligner velkjent programvare som Roblox FPS Unlocker, YouTube, VLC media player, Steam eller KeePass. Disse nettstedene lurer brukere som søker etter disse programmene til å laste ned en trojaner, som deretter installerer de falske nettleserutvidelsene.
De ødelagte installatørene, som er digitalt signert, setter opp en planlagt oppgave som utløser et PowerShell-skript. Dette skriptet er ansvarlig for nedlasting og utføring av nyttelasten i neste trinn fra en ekstern server.
Angripere installerer nye nettlesere på de kompromitterte enhetene
Dette innebærer å endre Windows-registeret for å fremtvinge innsetting av utvidelser fra Chrome Nettmarked og Microsoft Edge-tillegg, som kan kapre søk på Google og Microsoft Bing, og omdirigere dem gjennom servere kontrollert av angriperne.
Utvidelsen er designet for å kunne slettes, selv med utviklermodus aktivert. Nyere versjoner av skriptet deaktiverer også nettleseroppdateringer. I tillegg distribuerer den en lokal utvidelse lastet ned direkte fra en Command-and-Control-server (C2), utstyrt med omfattende muligheter for å avskjære alle nettforespørsler, videresende dem til serveren, utføre kommandoer og krypterte skript og injisere skript på hver webside.
Videre kaprer den søk fra Ask.com, Bing og Google, og omdirigerer dem gjennom sine servere før de sender dem videre til andre søkemotorer.
Berørte brukere bør iverksette tiltak
Brukere som er berørt av skadevareangrepet bør ta følgende skritt for å avhjelpe problemet:
- Slett den planlagte oppgaven som reaktiverer skadelig programvare daglig.
- Fjern de relevante registernøklene.
- Slett følgende filer og mapper fra systemet:
C:\Windows\system32\Privacyblockerwindows.ps1
C:\Windows\system32\Windowsupdater1.ps1
C:\Windows\system32\WindowsUpdater1Script.ps1
C:\Windows\system32\Optimizerwindows.ps1
C:\Windows\system32\Printworkflowservice.ps1
C:\Windows\system32\NvWinSearchOptimizer.ps1 (2024-versjon)
C:\Windows\system32\kondserp_optimizer.ps1 (mai 2024-versjon)
C:\Windows\InternalKernelGrid
C:\Windows\InternalKernelGrid3
C:\Windows\InternalKernelGrid4
C:\Windows\ShellServiceLog
C:\windows\privacyprotectorlog
C:\Windows\NvOptimizerLog
Denne typen angrep er ikke enestående. I desember 2023 ble det rapportert om en lignende kampanje, som involverte et trojansk installasjonsprogram distribuert gjennom torrenter. Dette installasjonsprogrammet var forkledd som en VPN-app, men var faktisk designet for å utføre et "cashback-aktivitetshack".
