Uzantı Truva Atı Kötü Amaçlı Yazılım
Büyük ölçekli bir kötü amaçlı yazılım kampanyası tespit edildi. Sahte web siteleri aracılığıyla dağıtılan ve popüler yazılım gibi görünen bir Truva Atı aracılığıyla sahte Google Chrome ve Microsoft Edge uzantıları yükleyerek kullanıcıları hedef alıyor. Truva Atı, aramaları ele geçiren temel reklam yazılımı uzantılarından, kişisel verileri toplamak ve çeşitli komutları yürütmek üzere tasarlanmış yerel uzantılar yükleyen daha gelişmiş güvenli olmayan betiklere kadar çeşitli yükler dağıtıyor. 2021'den beri aktif olan bu Truva Atı, çevrimiçi oyunlar ve videolar için eklentiler sunan sahte indirme web sitelerinden kaynaklanıyor.
İçindekiler
Yüzbinlerce Etkilenen Kullanıcı
Kötü amaçlı yazılım ve ilişkili uzantıları, Google Chrome ve Microsoft Edge'de 300.000'den fazla kullanıcıyı etkileyerek tehdidin yaygınlığını ortaya koydu.
Bu kampanyanın merkezinde, kullanıcıları Roblox FPS Unlocker, YouTube, VLC medya oynatıcısı, Steam veya KeePass gibi iyi bilinen yazılımları taklit eden aldatıcı web sitelerine yönlendirmek için kötü amaçlı reklamların kullanılması yer alır. Bu siteler, bu programları arayan kullanıcıları bir Truva atını indirmeye kandırır ve ardından sahte tarayıcı uzantılarını yükler.
Dijital olarak imzalanmış bozulmuş yükleyiciler, bir PowerShell betiğini tetikleyen zamanlanmış bir görev kurar. Bu betik, uzak bir sunucudan bir sonraki aşama yükünü indirmek ve yürütmekten sorumludur.
Saldırganlar Tehlikeye Atılan Cihazlara Yeni Tarayıcılar Yükler
Bu, Google ve Microsoft Bing'deki arama sorgularını ele geçirip saldırganların kontrolündeki sunucular üzerinden yönlendirebilen Chrome Web Mağazası ve Microsoft Edge Eklentileri'nden eklentilerin eklenmesini sağlamak için Windows Kayıt Defteri'nin değiştirilmesini içerir.
Eklenti, Geliştirici Modu etkinleştirilmiş olsa bile silinemez olacak şekilde tasarlanmıştır. Komut dosyasının son sürümleri tarayıcı güncellemelerini de devre dışı bırakır. Ek olarak, tüm Web isteklerini engellemek, bunları sunucuya iletmek, komutları ve şifrelenmiş komut dosyalarını yürütmek ve her Web sayfasına komut dosyaları enjekte etmek için kapsamlı yeteneklerle donatılmış, doğrudan bir Komut ve Kontrol (C2) sunucusundan indirilen yerel bir eklenti dağıtır.
Ayrıca Ask.com, Bing ve Google'dan gelen arama sorgularını ele geçirerek, diğer arama motorlarına iletmeden önce kendi sunucuları üzerinden yeniden yönlendiriyor.
Etkilenen Kullanıcılar İşlem Yapmalıdır
Kötü amaçlı yazılım saldırısından etkilenen kullanıcılar, sorunu hafifletmek için aşağıdaki adımları izlemelidir:
- Kötü amaçlı yazılımı günlük olarak yeniden etkinleştiren zamanlanmış görevi silin.
- İlgili Kayıt defteri anahtarlarını kaldırın.
- Aşağıdaki dosya ve klasörleri sistemden silin:
C:\Windows\system32\Gizlilik engelleyiciwindows.ps1
C:\Windows\system32\Windowsgüncelleyici1.ps1
C:\Windows\system32\WindowsGüncelleyici1Script.ps1
C:\Windows\system32\Optimizerwindows.ps1
C:\Windows\system32\Printworkflowservice.ps1
C:\Windows\system32\NvWinSearchOptimizer.ps1 (2024 sürümü)
C:\Windows\system32\kondserp_optimizer.ps1 (Mayıs 2024 sürümü)
C:\Windows\DahiliKernelGrid
C:\Windows\DahiliKernelGrid3
C:\Windows\DahiliKernelGrid4
C:\Windows\KabukHizmetGünlüğü
C:\windows\gizlilikkoruyucusulog
C:\Windows\NvOptimizerLog
Bu tür bir saldırı daha önce görülmemiş bir şey değil. Aralık 2023'te, torrentler aracılığıyla dağıtılan bir Truva atı yükleyicisini içeren benzer bir kampanya bildirildi. Bu yükleyici bir VPN uygulaması olarak gizlenmişti ancak aslında bir 'geri ödeme etkinliği saldırısı' gerçekleştirmek için tasarlanmıştı.
