Extension Trojan Malware

已偵測到大規模惡意軟體活動。它透過冒充流行軟體的虛假網站來分發木馬，安裝欺詐性的 Google Chrome 和 Microsoft Edge 擴充功能來瞄準用戶。該木馬部署了一系列有效負載，從劫持搜尋的基本廣告軟體擴展到安裝旨在收集個人資料和執行各種命令的本地擴展的更高級的不安全腳本。該木馬自 2021 年以來一直活躍，源自於提供線上遊戲和影片附加元件的假冒下載網站。

數十萬受影響的用戶

該惡意軟體及其相關擴充功能已影響了 Google Chrome 和 Microsoft Edge 上超過 30 萬名用戶，這表明了該威脅的廣泛性。

活動的核心是利用惡意廣告將用戶引導至模仿 Roblox FPS Unlocker、YouTube、VLC 媒體播放器、Steam 或 KeePass 等知名軟體的欺騙性網站。這些網站誘騙搜尋這些程式的用戶下載木馬，然後安裝詐騙的瀏覽器擴充功能。

損壞的安裝程式經過數位簽名，會設定觸發 PowerShell 腳本的排程任務。該腳本負責從遠端伺服器下載並執行下一階段的有效負載。

攻擊者在受感染的裝置上安裝新瀏覽器

這涉及到更改 Windows 註冊表以強制插入來自 Chrome Web Store 和 Microsoft Edge 附加元件的擴充程序，這些擴充功能可以劫持 Google 和 Microsoft Bing 上的搜尋查詢，透過攻擊者控制的伺服器重新導向它們。

該擴充功能被設計為不可刪除，即使啟用了開發者模式也是如此。該腳本的最新版本還禁用瀏覽器更新。此外，它還部署了直接從命令與控制(C2) 伺服器下載的本地擴展，該擴展具有攔截所有Web 請求、將其轉發到伺服器、執行命令和加密腳本以及將腳本注入每個網頁的廣泛功能。

此外，它還劫持來自 Ask.com、Bing 和 Google 的搜尋查詢，透過其伺服器重新路由它們，然後再將其傳遞到其他搜尋引擎。

受影響的使用者應採取行動

受惡意軟體攻擊影響的使用者應採取以下步驟來緩解問題：

• 刪除每天重新啟動惡意軟體的排程任務。
• 刪除相關的註冊表項。
• 從系統中刪除以下檔案和資料夾：

C:\Windows\system32\Privacyblockerwindows.ps1

C:\Windows\system32\Windowsupdater1.ps1

C:\Windows\system32\WindowsUpdater1Script.ps1

C:\Windows\system32\Optimizerwindows.ps1

C:\Windows\system32\Printworkflowservice.ps1

C:\Windows\system32\NvWinSearchOptimizer.ps1（2024 年版）

C:\Windows\system32\kondserp_optimizer.ps1（2024 年 5 月版本）

C:\Windows\InternalKernelGrid

C:\Windows\InternalKernelGrid3

C:\Windows\InternalKernelGrid4

C:\Windows\ShellServiceLog

C:\windows\privacyprotectorlog

C:\Windows\NvOptimizerLog

這種類型的攻擊並非史無前例。 2023 年 12 月，據報導發生了類似的活動，涉及透過種子傳播的木馬安裝程序。該安裝程序偽裝成 VPN 應用程序，但實際上旨在執行“現金返還活動黑客”。