Розширення Trojan Malware
Було виявлено масштабну кампанію шкідливих програм. Він націлений на користувачів, встановлюючи шахрайські розширення Google Chrome і Microsoft Edge через троян, який поширюється через підроблені веб-сайти, які видають себе за популярне програмне забезпечення. Троян розгортає низку корисних навантажень, від базових розширень рекламного ПЗ, які захоплюють пошук, до більш просунутих небезпечних сценаріїв, які встановлюють локальні розширення, призначені для збору особистих даних і виконання різних команд. Цей троян, активний з 2021 року, походить від контрафактних веб-сайтів для завантаження, які пропонують доповнення для онлайн-ігор і відео.
Зміст
Сотні тисяч постраждалих користувачів
Зловмисне програмне забезпечення та пов’язані з ним розширення вплинули на понад 300 000 користувачів Google Chrome і Microsoft Edge, демонструючи широкомасштабність загрози.
Головним у цій кампанії є використання зловмисної реклами для спрямування користувачів на оманливі веб-сайти, які імітують добре відоме програмне забезпечення, як-от Roblox FPS Unlocker, YouTube, медіаплеєр VLC, Steam або KeePass. Ці сайти обманом змушують користувачів, які шукають ці програми, завантажити троян, який потім встановлює шахрайські розширення браузера.
Пошкоджені інсталятори, які мають цифровий підпис, налаштовують заплановане завдання, яке запускає сценарій PowerShell. Цей сценарій відповідає за завантаження та виконання корисного навантаження наступного етапу з віддаленого сервера.
Зловмисники встановлюють нові браузери на скомпрометовані пристрої
Це передбачає зміну реєстру Windows для примусової вставки розширень із веб-магазину Chrome і надбудов Microsoft Edge, які можуть перехоплювати пошукові запити в Google і Microsoft Bing, перенаправляючи їх через сервери, контрольовані зловмисниками.
Розширення розроблено таким чином, що його неможливо видалити, навіть якщо ввімкнено режим розробника. Останні версії сценарію також відключають оновлення браузера. Крім того, він розгортає локальне розширення, завантажене безпосередньо з сервера Command-and-Control (C2), оснащене широкими можливостями для перехоплення всіх веб-запитів, передачі їх на сервер, виконання команд і зашифрованих сценаріїв і введення сценаріїв на кожну веб-сторінку.
Крім того, він викрадає пошукові запити з Ask.com, Bing і Google, перенаправляючи їх через свої сервери перед тим, як передавати їх іншим пошуковим системам.
Постраждалі користувачі повинні вжити заходів
Користувачі, які постраждали від атаки зловмисного програмного забезпечення, повинні вжити таких заходів, щоб пом’якшити проблему:
- Видаліть заплановане завдання, яке щодня повторно активує зловмисне програмне забезпечення.
- Видаліть відповідні ключі реєстру.
- Видаліть із системи такі файли та папки:
C:\Windows\system32\Privacyblockerwindows.ps1
C:\Windows\system32\Windowsupdater1.ps1
C:\Windows\system32\WindowsUpdater1Script.ps1
C:\Windows\system32\Optimizerwindows.ps1
C:\Windows\system32\Printworkflowservice.ps1
C:\Windows\system32\NvWinSearchOptimizer.ps1 (версія 2024)
C:\Windows\system32\kondserp_optimizer.ps1 (версія за травень 2024 р.)
C:\Windows\InternalKernelGrid
C:\Windows\InternalKernelGrid3
C:\Windows\InternalKernelGrid4
C:\Windows\ShellServiceLog
C:\windows\privacyprotectorlog
C:\Windows\NvOptimizerLog
Цей тип нападу не є безпрецедентним. У грудні 2023 року повідомлялося про схожу кампанію із залученням інсталятора трояна, що розповсюджується через торренти. Цей інсталятор був замаскований під програму VPN, але насправді був розроблений для виконання «злому кешбеку».
