ส่วนขยายมัลแวร์โทรจัน

ตรวจพบแคมเปญมัลแวร์ขนาดใหญ่ โดยกำหนดเป้าหมายผู้ใช้ด้วยการติดตั้งส่วนขยาย Google Chrome และ Microsoft Edge ปลอมผ่านโทรจันที่เผยแพร่ผ่านเว็บไซต์ปลอมที่แอบอ้างว่าเป็นซอฟต์แวร์ยอดนิยม โทรจันนี้ใช้เพย์โหลดต่างๆ ตั้งแต่ส่วนขยายแอดแวร์พื้นฐานที่แฮ็กการค้นหาไปจนถึงสคริปต์ที่ไม่ปลอดภัยขั้นสูงที่ติดตั้งส่วนขยายภายในเครื่องที่ออกแบบมาเพื่อรวบรวมข้อมูลส่วนบุคคลและดำเนินการคำสั่งต่างๆ โทรจันนี้ซึ่งเปิดใช้งานตั้งแต่ปี 2021 มีต้นกำเนิดจากเว็บไซต์ดาวน์โหลดปลอมที่เสนอส่วนเสริมสำหรับเกมออนไลน์และวิดีโอเกม

ผู้ใช้ที่ได้รับผลกระทบนับแสนคน

มัลแวร์และส่วนขยายที่เกี่ยวข้องส่งผลกระทบต่อผู้ใช้มากกว่า 300,000 รายบน Google Chrome และ Microsoft Edge ซึ่งแสดงให้เห็นถึงลักษณะแพร่หลายของภัยคุกคามนี้

แคมเปญนี้ใช้การโฆษณาแบบมัลแวร์เพื่อนำผู้ใช้ไปยังเว็บไซต์หลอกลวงที่เลียนแบบซอฟต์แวร์ชื่อดัง เช่น Roblox FPS Unlocker, YouTube, VLC media player, Steam หรือ KeePass เว็บไซต์เหล่านี้หลอกล่อผู้ใช้ที่ค้นหาโปรแกรมเหล่านี้ให้ดาวน์โหลดโทรจัน จากนั้นจึงติดตั้งส่วนขยายเบราว์เซอร์ปลอม

โปรแกรมติดตั้งที่เสียหายซึ่งลงนามแบบดิจิทัลจะตั้งค่าการทำงานตามกำหนดเวลาที่เรียกใช้สคริปต์ PowerShell สคริปต์นี้รับผิดชอบในการดาวน์โหลดและดำเนินการโหลดขั้นตอนถัดไปจากเซิร์ฟเวอร์ระยะไกล

ผู้โจมตีติดตั้งเบราว์เซอร์ใหม่บนอุปกรณ์ที่ถูกบุกรุก

ซึ่งเกี่ยวข้องกับการเปลี่ยนแปลง Windows Registry เพื่อบังคับการแทรกส่วนขยายจาก Chrome Web Store และ Microsoft Edge Add-ons ซึ่งสามารถแฮ็กคำค้นหาบน Google และ Microsoft Bing และเปลี่ยนเส้นทางผ่านเซิร์ฟเวอร์ที่ควบคุมโดยผู้โจมตี

ส่วนขยายได้รับการออกแบบมาให้ไม่สามารถลบได้แม้จะเปิดใช้งานโหมดนักพัฒนาซอฟต์แวร์แล้วก็ตาม สคริปต์เวอร์ชันล่าสุดยังปิดใช้งานการอัปเดตเบราว์เซอร์อีกด้วย นอกจากนี้ ส่วนขยายดังกล่าวยังติดตั้งส่วนขยายภายในเครื่องที่ดาวน์โหลดโดยตรงจากเซิร์ฟเวอร์ Command-and-Control (C2) ซึ่งมาพร้อมความสามารถมากมายในการสกัดกั้นคำขอเว็บทั้งหมด ส่งต่อคำขอไปยังเซิร์ฟเวอร์ ดำเนินการคำสั่งและสคริปต์ที่เข้ารหัส และแทรกสคริปต์ลงในหน้าเว็บทุกหน้า

นอกจากนี้ ยังควบคุมคำค้นหาจาก Ask.com, Bing และ Google แล้วเปลี่ยนเส้นทางผ่านเซิร์ฟเวอร์ ก่อนจะส่งต่อไปยังเครื่องมือค้นหาอื่นๆ

ผู้ใช้ที่ได้รับผลกระทบควรดำเนินการ

ผู้ใช้ที่ได้รับผลกระทบจากการโจมตีของมัลแวร์ควรดำเนินการตามขั้นตอนต่อไปนี้เพื่อบรรเทาปัญหา:

• ลบงานตามกำหนดเวลาที่ทำให้มัลแวร์กลับมาทำงานอีกครั้งทุกวัน
• ลบคีย์รีจิสทรีที่เกี่ยวข้อง
• ลบไฟล์และโฟลเดอร์ต่อไปนี้ออกจากระบบ:

C:\Windows\system32\ตัวบล็อกความเป็นส่วนตัวของ Windows.ps1

C:\Windows\system32\Windowsupdater1.ps1

C:\Windows\system32\WindowsUpdater1สคริปต์.ps1

C:\Windows\system32\Optimizerwindows.ps1

C:\Windows\system32\Printworkflowservice.ps1

C:\Windows\system32\NvWinSearchOptimizer.ps1 (เวอร์ชัน 2024)

C:\Windows\system32\kondserp_optimizer.ps1 (เวอร์ชันพฤษภาคม 2024)

C:\Windows\InternalKernelGrid

C:\Windows\InternalKernelGrid3

C:\Windows\InternalKernelGrid4

C:\Windows\บันทึกการบริการเชลล์

C:\windows\privacyprotectorlog

C:\Windows\NvOptimizer บันทึก

การโจมตีประเภทนี้ไม่ใช่เรื่องใหม่ ในเดือนธันวาคม 2023 มีการรายงานแคมเปญที่คล้ายกัน ซึ่งเกี่ยวข้องกับโปรแกรมติดตั้งโทรจันที่เผยแพร่ผ่านทอร์เรนต์ โปรแกรมติดตั้งนี้ปลอมตัวเป็นแอป VPN แต่จริงๆ แล้วออกแบบมาเพื่อดำเนินการ "แฮ็กกิจกรรมรับเงินคืน"