Tillägg Trojan Malware
En storskalig skadlig kampanj har upptäckts. Den riktar sig till användare genom att installera falska Google Chrome- och Microsoft Edge-tillägg via en trojan som distribueras via falska webbplatser som utger sig för att vara populär programvara. Trojanen distribuerar en rad nyttolaster, från grundläggande annonsprogramtillägg som kapar sökningar till mer avancerade osäkra skript som installerar lokala tillägg utformade för att samla in personlig data och utföra olika kommandon. Denna trojan, aktiv sedan 2021, kommer från förfalskade nedladdningswebbplatser som erbjuder tillägg för onlinespel och videor.
Innehållsförteckning
Hundratusentals berörda användare
Skadlig programvara och dess tillhörande tillägg har påverkat över 300 000 användare på Google Chrome och Microsoft Edge, vilket visar hotets utbredda karaktär.
Centralt i denna kampanj är användningen av malvertising för att leda användare till vilseledande webbplatser som efterliknar välkänd programvara som Roblox FPS Unlocker, YouTube, VLC media player, Steam eller KeePass. Dessa webbplatser lurar användare som söker efter dessa program att ladda ner en trojan, som sedan installerar de bedrägliga webbläsartilläggen.
De korrupta installatörerna, som är digitalt signerade, ställer in en schemalagd uppgift som utlöser ett PowerShell-skript. Detta skript är ansvarigt för nedladdning och exekvering av nyttolasten i nästa steg från en fjärrserver.
Angripare installerar nya webbläsare på de utsatta enheterna
Detta innebär att ändra Windows-registret för att tvinga in tillägg från Chrome Web Store och Microsoft Edge-tillägg, som kan kapa sökfrågor på Google och Microsoft Bing och omdirigera dem genom servrar som kontrolleras av angriparna.
Tillägget är designat för att kunna raderas, även med utvecklarläge aktiverat. Senaste versioner av skriptet inaktiverar också webbläsaruppdateringar. Dessutom distribuerar den ett lokalt tillägg som laddas ner direkt från en Command-and-Control-server (C2), utrustad med omfattande möjligheter att fånga upp alla webbförfrågningar, vidarebefordra dem till servern, utföra kommandon och krypterade skript och injicera skript på varje webbsida.
Dessutom kapar den sökfrågor från Ask.com, Bing och Google och dirigerar dem genom sina servrar innan de skickas vidare till andra sökmotorer.
Berörda användare bör vidta åtgärder
Användare som påverkas av attacken med skadlig programvara bör vidta följande åtgärder för att lindra problemet:
- Ta bort den schemalagda uppgiften som återaktiverar skadlig programvara dagligen.
- Ta bort relevanta registernycklar.
- Ta bort följande filer och mappar från systemet:
C:\Windows\system32\Privacyblockerwindows.ps1
C:\Windows\system32\Windowsupdater1.ps1
C:\Windows\system32\WindowsUpdater1Script.ps1
C:\Windows\system32\Optimizerwindows.ps1
C:\Windows\system32\Printworkflowservice.ps1
C:\Windows\system32\NvWinSearchOptimizer.ps1 (2024 version)
C:\Windows\system32\kondserp_optimizer.ps1 (maj 2024 version)
C:\Windows\InternalKernelGrid
C:\Windows\InternalKernelGrid3
C:\Windows\InternalKernelGrid4
C:\Windows\ShellServiceLog
C:\windows\privacyprotectorlog
C:\Windows\NvOptimizerLog
Den här typen av attacker är inte oöverträffad. I december 2023 rapporterades en liknande kampanj, som involverade ett trojanskt installationsprogram distribuerat via torrents. Det här installationsprogrammet var förklädd som en VPN-app men designades faktiskt för att utföra ett "cashback-aktivitetshack".
