Расширение троянского вредоносного ПО
Была обнаружена масштабная вредоносная кампания. Она нацелена на пользователей, устанавливая мошеннические расширения Google Chrome и Microsoft Edge с помощью трояна, распространяемого через поддельные веб-сайты, выдающие себя за популярное программное обеспечение. Троян развертывает ряд полезных нагрузок, от базовых расширений рекламного ПО, которые перехватывают поиск, до более сложных небезопасных скриптов, которые устанавливают локальные расширения, предназначенные для сбора персональных данных и выполнения различных команд. Этот троян, активный с 2021 года, происходит из поддельных сайтов для загрузки, предлагающих дополнения для онлайн-игр и видео.
Оглавление
Сотни тысяч пострадавших пользователей
Вредоносное ПО и связанные с ним расширения затронули более 300 000 пользователей Google Chrome и Microsoft Edge, что свидетельствует о широкомасштабном характере угрозы.
Центральным элементом этой кампании является использование вредоносной рекламы для направления пользователей на обманные веб-сайты, которые имитируют известные программы, такие как Roblox FPS Unlocker, YouTube, VLC media player, Steam или KeePass. Эти сайты обманывают пользователей, ищущих эти программы, заставляя их загрузить троян, который затем устанавливает мошеннические расширения браузера.
Поврежденные установщики, имеющие цифровую подпись, устанавливают запланированную задачу, которая запускает скрипт PowerShell. Этот скрипт отвечает за загрузку и выполнение полезной нагрузки следующего этапа с удаленного сервера.
Злоумышленники устанавливают новые браузеры на взломанные устройства
Это предполагает изменение реестра Windows для принудительной вставки расширений из Chrome Web Store и надстроек Microsoft Edge, которые могут перехватывать поисковые запросы в Google и Microsoft Bing, перенаправляя их через серверы, контролируемые злоумышленниками.
Расширение разработано так, чтобы его нельзя было удалить даже при включенном режиме разработчика. Последние версии скрипта также отключают обновления браузера. Кроме того, он развертывает локальное расширение, загружаемое непосредственно с сервера Command-and-Control (C2), оснащенное обширными возможностями для перехвата всех веб-запросов, ретрансляции их на сервер, выполнения команд и зашифрованных скриптов, а также внедрения скриптов в каждую веб-страницу.
Кроме того, он перехватывает поисковые запросы из Ask.com, Bing и Google, перенаправляя их через свои серверы, прежде чем передавать их другим поисковым системам.
Пострадавшим пользователям следует принять меры
Пользователи, пострадавшие от атаки вредоносного ПО, должны предпринять следующие шаги для смягчения проблемы:
- Удалите запланированную задачу, которая ежедневно активирует вредоносное ПО.
- Удалите соответствующие ключи реестра.
- Удалите из системы следующие файлы и папки:
C:\Windows\system32\Privacyblockerwindows.ps1
C:\Windows\system32\Windowsupdater1.ps1
C:\Windows\system32\WindowsUpdater1Script.ps1
C:\Windows\system32\Optimizerwindows.ps1
C:\Windows\system32\Printworkflowservice.ps1
C:\Windows\system32\NvWinSearchOptimizer.ps1 (версия 2024 года)
C:\Windows\system32\kondserp_optimizer.ps1 (версия от мая 2024 г.)
C:\Windows\InternalKernelGrid
C:\Windows\InternalKernelGrid3
C:\Windows\InternalKernelGrid4
C:\Windows\ShellServiceLog
C:\windows\privacyprotectorlog
C:\Windows\NvOptimizerLog
Этот тип атак не является беспрецедентным. В декабре 2023 года сообщалось о похожей кампании, в которой использовался установщик трояна, распространяемый через торренты. Этот установщик был замаскирован под приложение VPN, но на самом деле был разработан для выполнения «взлома кэшбэк-активности».
