Extension Trojan Malware

تم اكتشاف حملة برامج ضارة واسعة النطاق تستهدف المستخدمين من خلال تثبيت ملحقات احتيالية لمتصفحي Google Chrome وMicrosoft Edge من خلال حصان طروادة يتم توزيعه عبر مواقع ويب مزيفة تنتحل صفة برامج شائعة. ينشر حصان طروادة مجموعة من الحمولات، من ملحقات البرامج الإعلانية الأساسية التي تخترق عمليات البحث إلى البرامج النصية غير الآمنة الأكثر تقدمًا والتي تقوم بتثبيت ملحقات محلية مصممة لجمع البيانات الشخصية وتنفيذ أوامر مختلفة. ينشأ حصان طروادة هذا، النشط منذ عام 2021، من مواقع تنزيل مزيفة تقدم إضافات للألعاب ومقاطع الفيديو عبر الإنترنت.

مئات الآلاف من المستخدمين المتأثرين

أثرت البرامج الضارة وملحقاتها على أكثر من 300 ألف مستخدم على Google Chrome وMicrosoft Edge، مما يوضح طبيعة التهديد واسعة النطاق.

إن العنصر الأساسي في هذه الحملة هو استخدام الإعلانات الخبيثة لتوجيه المستخدمين إلى مواقع ويب خادعة تحاكي برامج معروفة مثل Roblox FPS Unlocker أو YouTube أو VLC media player أو Steam أو KeePass. تخدع هذه المواقع المستخدمين الباحثين عن هذه البرامج لتنزيل حصان طروادة، والذي يقوم بعد ذلك بتثبيت ملحقات المتصفح الاحتيالية.

تقوم برامج التثبيت التالفة، والتي تم توقيعها رقميًا، بإعداد مهمة مجدولة تؤدي إلى تشغيل نص برمجي لـ PowerShell. هذا النص البرمجي مسؤول عن تنزيل الحمولة التالية وتنفيذها من خادم بعيد.

يقوم المهاجمون بتثبيت متصفحات جديدة على الأجهزة المخترقة

يتضمن ذلك تغيير سجل Windows لفرض إدراج ملحقات من متجر Chrome الإلكتروني وإضافات Microsoft Edge، والتي يمكنها اختطاف استعلامات البحث على Google وMicrosoft Bing، وإعادة توجيهها عبر خوادم يسيطر عليها المهاجمون.

تم تصميم الامتداد بحيث لا يمكن حذفه، حتى مع تمكين وضع المطور. كما تعمل الإصدارات الأخيرة من البرنامج النصي على تعطيل تحديثات المتصفح. بالإضافة إلى ذلك، يقوم بنشر امتداد محلي يتم تنزيله مباشرة من خادم Command-and-Control (C2)، المزود بإمكانيات واسعة لاعتراض جميع طلبات الويب، ونقلها إلى الخادم، وتنفيذ الأوامر والبرامج النصية المشفرة وحقن البرامج النصية في كل صفحة ويب.

علاوة على ذلك، يقوم باختطاف استعلامات البحث من Ask.com وBing وGoogle، وإعادة توجيهها عبر خوادمه قبل تمريرها إلى محركات بحث أخرى.

يجب على المستخدمين المتأثرين اتخاذ الإجراء اللازم

يجب على المستخدمين المتأثرين بهجوم البرامج الضارة اتخاذ الخطوات التالية للتخفيف من حدة المشكلة:

• احذف المهمة المجدولة التي تقوم بإعادة تنشيط البرامج الضارة يوميًا.
• قم بإزالة مفاتيح التسجيل ذات الصلة.
• احذف الملفات والمجلدات التالية من النظام:

C:\Windows\system32\Privacyblockerwindows.ps1

C:\Windows\system32\Windowsupdater1.ps1

C:\Windows\system32\WindowsUpdater1Script.ps1

C:\Windows\system32\Optimizerwindows.ps1

C:\Windows\system32\Printworkflowservice.ps1

C:\Windows\system32\NvWinSearchOptimizer.ps1 (إصدار 2024)

C:\Windows\system32\kondserp_optimizer.ps1 (إصدار مايو 2024)

C:\Windows\InternalKernelGrid

C:\Windows\InternalKernelGrid3

C:\Windows\InternalKernelGrid4

C:\Windows\ShellServiceLog

C:\windows\privacyprotectorlog

C:\Windows\NvOptimizerLog

هذا النوع من الهجمات ليس غير مسبوق. ففي ديسمبر 2023، تم الإبلاغ عن حملة مماثلة، تتضمن برنامج تثبيت حصان طروادة يتم توزيعه عبر ملفات التورنت. تم إخفاء هذا البرنامج المثبت على هيئة تطبيق VPN ولكنه في الواقع مصمم لتنفيذ "اختراق نشاط استرداد النقود".