Extensie Trojan Malware
Er is een grootschalige malwarecampagne gedetecteerd. Deze richt zich op gebruikers door frauduleuze Google Chrome- en Microsoft Edge-extensies te installeren via een Trojaans paard dat wordt verspreid via nepwebsites die zich voordoen als populaire software. Het Trojaans paard implementeert een reeks payloads, van eenvoudige adware-extensies die zoekopdrachten kapen tot geavanceerdere onveilige scripts die lokale extensies installeren die zijn ontworpen om persoonlijke gegevens te verzamelen en verschillende opdrachten uit te voeren. Dit Trojaans paard, actief sinds 2021, is afkomstig van namaakdownloadwebsites die add-ons aanbieden voor online games en video's.
Inhoudsopgave
Honderdduizenden getroffen gebruikers
De malware en de bijbehorende extensies hebben meer dan 300.000 gebruikers van Google Chrome en Microsoft Edge getroffen, wat de wijdverbreide aard van de dreiging aantoont.
Centraal in deze campagne staat het gebruik van malvertising om gebruikers naar misleidende websites te leiden die bekende software nabootsen, zoals Roblox FPS Unlocker, YouTube, VLC media player, Steam of KeePass. Deze sites misleiden gebruikers die naar deze programma's zoeken om een Trojan te downloaden, die vervolgens de frauduleuze browserextensies installeert.
De corrupte installers, die digitaal ondertekend zijn, stellen een geplande taak in die een PowerShell-script triggert. Dit script is verantwoordelijk voor het downloaden en uitvoeren van de next-stage payload vanaf een externe server.
Aanvallers installeren nieuwe browsers op de gecompromitteerde apparaten
Hierbij wordt het Windows-register aangepast om de invoeging van extensies uit de Chrome Web Store en Microsoft Edge Add-ons af te dwingen. Deze kunnen zoekopdrachten op Google en Microsoft Bing kapen en ze omleiden via servers die door de aanvallers worden beheerd.
De extensie is ontworpen om niet te verwijderen, zelfs niet met de ontwikkelaarsmodus ingeschakeld. Recente versies van het script schakelen ook browserupdates uit. Daarnaast implementeert het een lokale extensie die rechtstreeks van een Command-and-Control (C2)-server is gedownload, uitgerust met uitgebreide mogelijkheden om alle webverzoeken te onderscheppen, ze door te sturen naar de server, opdrachten en gecodeerde scripts uit te voeren en scripts in elke webpagina te injecteren.
Bovendien kaapt het zoekopdrachten van Ask.com, Bing en Google en stuurt ze via de servers van het bedrijf door naar andere zoekmachines.
Getroffen gebruikers moeten actie ondernemen
Gebruikers die getroffen zijn door de malware-aanval, moeten de volgende stappen ondernemen om het probleem te verhelpen:
- Verwijder de geplande taak die de malware dagelijks opnieuw activeert.
- Verwijder de relevante registersleutels.
- Verwijder de volgende bestanden en mappen van het systeem:
C:\Windows\system32\Privacyblockerwindows.ps1
C:\Windows\system32\Windowsupdater1.ps1
C:\Windows\system32\WindowsUpdater1Script.ps1
C:\Windows\system32\Optimizerwindows.ps1
C:\Windows\system32\Printworkflowservice.ps1
C:\Windows\system32\NvWinSearchOptimizer.ps1 (versie 2024)
C:\Windows\system32\kondserp_optimizer.ps1 (versie mei 2024)
C:\Windows\InternalKernelGrid
C:\Windows\InternalKernelGrid3
C:\Windows\InternalKernelGrid4
C:\Windows\ShellServiceLog
C:\windows\privacyprotectorlog
C:\Windows\NvOptimizerLog
Dit type aanval is niet ongekend. In december 2023 werd een soortgelijke campagne gemeld, waarbij een Trojan-installatieprogramma werd verspreid via torrents. Dit installatieprogramma was vermomd als een VPN-app, maar was in werkelijkheid ontworpen om een 'cashback-activiteitshack' uit te voeren.
