Extension Trojan Malware
Është zbuluar një fushatë malware në shkallë të gjerë. Ai synon përdoruesit duke instaluar shtesa mashtruese të Google Chrome dhe Microsoft Edge përmes një trojan të shpërndarë përmes faqeve të rreme të internetit që paraqiten si softuer popullor. Trojan vendos një sërë ngarkesash, nga shtesat bazë të adware që rrëmbejnë kërkimet deri te skriptet më të avancuara të pasigurta që instalojnë shtesa lokale të dizajnuara për të mbledhur të dhëna personale dhe për të ekzekutuar komanda të ndryshme. Ky Trojan, aktiv që nga viti 2021, e ka origjinën nga faqet e internetit të falsifikuara të shkarkimit që ofrojnë shtesa për lojëra dhe video në internet.
Tabela e Përmbajtjes
Qindra mijëra përdorues të prekur
Malware dhe shtesat e lidhura me të kanë ndikuar mbi 300,000 përdorues në Google Chrome dhe Microsoft Edge, duke demonstruar natyrën e përhapur të kërcënimit.
Në qendër të kësaj fushate është përdorimi i keqverifikimeve për t'i drejtuar përdoruesit drejt faqeve të internetit mashtruese që imitojnë softuerët e mirënjohur si Roblox FPS Unlocker, YouTube, media player VLC, Steam ose KeePass. Këto sajte mashtrojnë përdoruesit që kërkojnë këto programe për të shkarkuar një Trojan, i cili më pas instalon shtesat mashtruese të shfletuesit.
Instaluesit e korruptuar, të cilët janë të nënshkruar në mënyrë dixhitale, vendosin një detyrë të planifikuar që aktivizon një skript PowerShell. Ky skript është përgjegjës për shkarkimin dhe ekzekutimin e ngarkesës së fazës tjetër nga një server në distancë.
Sulmuesit instalojnë shfletues të rinj në pajisjet e komprometuara
Kjo përfshin ndryshimin e Regjistrit të Windows për të imponuar futjen e shtesave nga Dyqani i Uebit i Chrome dhe Shtesat Microsoft Edge, të cilat mund të rrëmbejnë pyetjet e kërkimit në Google dhe Microsoft Bing, duke i ridrejtuar ato përmes serverëve të kontrolluar nga sulmuesit.
Shtesa është projektuar që të jetë e pafshirë, edhe me modalitetin e zhvilluesit të aktivizuar. Versionet e fundit të skriptit gjithashtu çaktivizojnë përditësimet e shfletuesit. Për më tepër, ai vendos një shtesë lokale të shkarkuar direkt nga një server Command-and-Control (C2), i pajisur me aftësi të gjera për të përgjuar të gjitha kërkesat në ueb, për t'i transmetuar ato në server, për të ekzekutuar komanda dhe skripte të koduara dhe për të injektuar skriptet në çdo faqe Web.
Për më tepër, ai rrëmben pyetjet e kërkimit nga Ask.com, Bing dhe Google, duke i ridrejtuar ato përmes serverëve të tij përpara se t'i kalojnë ato te motorët e tjerë të kërkimit.
Përdoruesit e prekur duhet të ndërmarrin veprime
Përdoruesit e prekur nga sulmi i malware duhet të ndërmarrin hapat e mëposhtëm për të zbutur problemin:
- Fshini detyrën e planifikuar që riaktivizon malware çdo ditë.
- Hiqni çelësat përkatës të Regjistrit.
- Fshini skedarët dhe dosjet e mëposhtme nga sistemi:
C:\Windows\system32\Privacyblockerwindows.ps1
C:\Windows\system32\Windowsupdater1.ps1
C:\Windows\system32\WindowsUpdater1Script.ps1
C:\Windows\system32\Optimizerwindows.ps1
C:\Windows\system32\Printworkflowservice.ps1
C:\Windows\system32\NvWinSearchOptimizer.ps1 (versioni 2024)
C:\Windows\system32\kondserp_optimizer.ps1 (versioni i majit 2024)
C:\Windows\InternalKernelGrid
C:\Windows\InternalKernelGrid3
C:\Windows\InternalKernelGrid4
C:\Windows\ShellServiceLog
C:\windows\privacyprotectorlog
C:\Windows\NvOptimizerLog
Ky lloj sulmi nuk është i paprecedentë. Në dhjetor 2023, u raportua një fushatë e ngjashme, që përfshinte një instalues trojan të shpërndarë përmes torrenteve. Ky instalues ishte maskuar si një aplikacion VPN, por në fakt ishte krijuar për të ekzekutuar një 'hack aktiviteti të kthimit të parave'.
