Rozszerzenie Trojan Malware
Wykryto kampanię malware na dużą skalę. Atakuje użytkowników, instalując fałszywe rozszerzenia Google Chrome i Microsoft Edge za pośrednictwem trojana rozpowszechnianego za pośrednictwem fałszywych witryn podszywających się pod popularne oprogramowanie. Trojan wdraża szereg ładunków, od podstawowych rozszerzeń adware, które przejmują wyszukiwanie, po bardziej zaawansowane niebezpieczne skrypty, które instalują lokalne rozszerzenia zaprojektowane w celu zbierania danych osobowych i wykonywania różnych poleceń. Ten trojan, aktywny od 2021 r., pochodzi z fałszywych witryn do pobierania, oferujących dodatki do gier i filmów online.
Spis treści
Setki tysięcy dotkniętych użytkowników
Złośliwe oprogramowanie i powiązane z nim rozszerzenia zaatakowały ponad 300 000 użytkowników przeglądarek Google Chrome i Microsoft Edge, co pokazuje, jak powszechne jest to zagrożenie.
Centralnym elementem tej kampanii jest wykorzystanie malvertisingu w celu kierowania użytkowników do oszukańczych witryn, które naśladują znane oprogramowanie, takie jak Roblox FPS Unlocker, YouTube, VLC media player, Steam lub KeePass. Witryny te oszukują użytkowników szukających tych programów, aby pobrali trojana, który następnie instaluje fałszywe rozszerzenia przeglądarki.
Uszkodzone instalatory, które są podpisane cyfrowo, konfigurują zaplanowane zadanie, które uruchamia skrypt programu PowerShell. Ten skrypt odpowiada za pobieranie i wykonywanie ładunku następnego etapu ze zdalnego serwera.
Atakujący instalują nowe przeglądarki na zainfekowanych urządzeniach
Polega ona na zmianie rejestru systemu Windows w celu wymuszenia instalacji rozszerzeń ze sklepu Chrome Web Store i dodatków do przeglądarki Microsoft Edge, które mogą przejmować zapytania wyszukiwania w wyszukiwarkach Google i Microsoft Bing i przekierowywać je przez serwery kontrolowane przez atakujących.
Rozszerzenie jest zaprojektowane tak, aby nie można było go usunąć, nawet przy włączonym trybie programisty. Ostatnie wersje skryptu wyłączają również aktualizacje przeglądarki. Ponadto wdraża lokalne rozszerzenie pobrane bezpośrednio z serwera Command-and-Control (C2), wyposażone w rozbudowane możliwości przechwytywania wszystkich żądań internetowych, przekazywania ich do serwera, wykonywania poleceń i zaszyfrowanych skryptów oraz wstrzykiwania skryptów do każdej strony internetowej.
Ponadto przechwytuje zapytania wyszukiwawcze z witryn Ask.com, Bing i Google, przekierowując je przez swoje serwery przed przekazaniem do innych wyszukiwarek.
Dotknięci użytkownicy powinni podjąć działania
Użytkownicy, których dotknął atak złośliwego oprogramowania, powinni podjąć następujące kroki, aby złagodzić skutki problemu:
- Usuń zaplanowane zadanie, które codziennie ponownie aktywuje złośliwe oprogramowanie.
- Usuń odpowiednie klucze rejestru.
- Usuń następujące pliki i foldery z systemu:
C:\Windows\system32\Privacyblockerwindows.ps1
C:\Windows\system32\Windowsupdater1.ps1
C:\Windows\system32\WindowsUpdater1Script.ps1
C:\Windows\system32\Optymalizatorwindows.ps1
C:\Windows\system32\Printworkflowservice.ps1
C:\Windows\system32\NvWinSearchOptimizer.ps1 (wersja 2024)
C:\Windows\system32\kondserp_optimizer.ps1 (wersja z maja 2024 r.)
C:\Windows\InternalKernelGrid
C:\Windows\InternalKernelGrid3
C:\Windows\InternalKernelGrid4
C:\Windows\ShellServiceLog
C:\windows\privacyprotectorlog
C:\Windows\NvOptimizerLog
Tego typu atak nie jest bezprecedensowy. W grudniu 2023 r. zgłoszono podobną kampanię, w której uczestniczył instalator trojana rozpowszechniany za pośrednictwem torrentów. Ten instalator był zamaskowany jako aplikacja VPN, ale w rzeczywistości został zaprojektowany do wykonania „hackowania aktywności cashback”.
