Extension Trojan Malware

Một chiến dịch phần mềm độc hại quy mô lớn đã được phát hiện. Nó nhắm vào người dùng bằng cách cài đặt tiện ích mở rộng Google Chrome và Microsoft Edge gian lận thông qua Trojan được phân phối qua các trang web giả mạo đóng giả là phần mềm phổ biến. Trojan triển khai một loạt các phần mềm tải trọng, từ các tiện ích mở rộng phần mềm quảng cáo cơ bản chiếm đoạt tìm kiếm đến các tập lệnh không an toàn nâng cao hơn cài đặt các tiện ích mở rộng cục bộ được thiết kế để thu thập dữ liệu cá nhân và thực hiện nhiều lệnh khác nhau. Trojan này, hoạt động từ năm 2021, có nguồn gốc từ các trang web tải xuống giả mạo cung cấp tiện ích bổ sung cho trò chơi và video trực tuyến.

Hàng trăm ngàn người dùng bị ảnh hưởng

Phần mềm độc hại và các tiện ích mở rộng liên quan đã ảnh hưởng đến hơn 300.000 người dùng trên Google Chrome và Microsoft Edge, cho thấy bản chất lan rộng của mối đe dọa này.

Trọng tâm của chiến dịch này là sử dụng quảng cáo độc hại để hướng người dùng đến các trang web lừa đảo bắt chước phần mềm nổi tiếng như Roblox FPS Unlocker, YouTube, VLC media player, Steam hoặc KeePass. Các trang web này lừa người dùng tìm kiếm các chương trình này tải xuống Trojan, sau đó cài đặt tiện ích mở rộng trình duyệt gian lận.

Các trình cài đặt bị hỏng, được ký kỹ thuật số, thiết lập một tác vụ theo lịch trình kích hoạt một tập lệnh PowerShell. Tập lệnh này chịu trách nhiệm tải xuống và thực thi tải trọng giai đoạn tiếp theo từ một máy chủ từ xa.

Kẻ tấn công cài đặt trình duyệt mới trên các thiết bị bị xâm phạm

Điều này bao gồm việc thay đổi Windows Registry để thực thi việc chèn các tiện ích mở rộng từ Chrome Web Store và Microsoft Edge Add-on, có thể chiếm quyền điều khiển các truy vấn tìm kiếm trên Google và Microsoft Bing, chuyển hướng chúng qua các máy chủ do kẻ tấn công kiểm soát.

Tiện ích mở rộng được thiết kế để không thể xóa được, ngay cả khi bật Chế độ dành cho nhà phát triển. Các phiên bản gần đây của tập lệnh cũng vô hiệu hóa các bản cập nhật trình duyệt. Ngoài ra, nó triển khai một tiện ích mở rộng cục bộ được tải xuống trực tiếp từ máy chủ Command-and-Control (C2), được trang bị các khả năng mở rộng để chặn tất cả các yêu cầu Web, chuyển tiếp chúng đến máy chủ, thực thi các lệnh và tập lệnh được mã hóa và đưa tập lệnh vào mọi trang Web.

Hơn nữa, nó còn chiếm đoạt các truy vấn tìm kiếm từ Ask.com, Bing và Google, định tuyến lại chúng qua máy chủ của nó trước khi chuyển chúng tới các công cụ tìm kiếm khác.

Người dùng bị ảnh hưởng nên hành động

Người dùng bị ảnh hưởng bởi cuộc tấn công phần mềm độc hại nên thực hiện các bước sau để giảm thiểu sự cố:

• Xóa tác vụ theo lịch trình kích hoạt lại phần mềm độc hại hàng ngày.
• Xóa các khóa Registry có liên quan.
• Xóa các tập tin và thư mục sau khỏi hệ thống:

C:\Windows\system32\Privacyblockerwindows.ps1

C:\Windows\system32\Windowsupdater1.ps1

C:\Windows\system32\WindowsUpdater1Script.ps1

C:\Windows\system32\Optimizerwindows.ps1

C:\Windows\system32\Printworkflowservice.ps1

C:\Windows\system32\NvWinSearchOptimizer.ps1 (phiên bản 2024)

C:\Windows\system32\kondserp_optimizer.ps1 (phiên bản tháng 5 năm 2024)

C:\Windows\InternalKernelGrid

C:\Windows\InternalKernelGrid3

C:\Windows\InternalKernelGrid4

C:\Windows\ShellServiceLog

C:\windows\privacyprotectorlog

C:\Windows\NvOptimizerNhật ký

Kiểu tấn công này không phải là chưa từng có. Vào tháng 12 năm 2023, một chiến dịch tương tự đã được báo cáo, liên quan đến trình cài đặt Trojan được phân phối qua torrent. Trình cài đặt này được ngụy trang thành ứng dụng VPN nhưng thực chất được thiết kế để thực hiện 'hack hoạt động hoàn tiền'.