Разширение Trojan Malware
Открита е мащабна кампания за злонамерен софтуер. Той е насочен към потребителите, като инсталира измамни разширения на Google Chrome и Microsoft Edge чрез троянски кон, разпространяван чрез фалшиви уебсайтове, представящи се за популярен софтуер. Троянският кон разполага с набор от полезни натоварвания, от основни разширения за рекламен софтуер, които отвличат търсенията до по-усъвършенствани опасни скриптове, които инсталират локални разширения, предназначени да събират лични данни и да изпълняват различни команди. Този троянски кон, активен от 2021 г., произхожда от фалшиви уебсайтове за изтегляне, предлагащи добавки за онлайн игри и видеоклипове.
Съдържание
Стотици хиляди засегнати потребители
Зловреден софтуер и свързаните с него разширения са засегнали над 300 000 потребители на Google Chrome и Microsoft Edge, демонстрирайки широко разпространения характер на заплахата.
Основно в тази кампания е използването на злонамерена реклама за насочване на потребителите към измамни уебсайтове, които имитират добре познат софтуер като Roblox FPS Unlocker, YouTube, VLC media player, Steam или KeePass. Тези сайтове подмамват потребителите, търсещи тези програми, да изтеглят троянски кон, който след това инсталира измамните разширения на браузъра.
Повредените инсталатори, които са цифрово подписани, настройват планирана задача, която задейства скрипт на PowerShell. Този скрипт е отговорен за изтеглянето и изпълнението на полезния товар от следващия етап от отдалечен сървър.
Нападателите инсталират нови браузъри на компрометираните устройства
Това включва промяна на регистъра на Windows, за да се наложи вмъкването на разширения от уеб магазина на Chrome и добавките на Microsoft Edge, които могат да отвлекат заявки за търсене в Google и Microsoft Bing, пренасочвайки ги през сървъри, контролирани от нападателите.
Разширението е проектирано така, че да не може да се изтрива, дори и с активиран режим за разработчици. Последните версии на скрипта също деактивират актуализациите на браузъра. В допълнение, той разполага с локално разширение, изтеглено директно от Command-and-Control (C2) сървър, снабдено с широки възможности за прихващане на всички уеб заявки, предаването им на сървъра, изпълнение на команди и криптирани скриптове и инжектиране на скриптове във всяка уеб страница.
Освен това, той отвлича заявки за търсене от Ask.com, Bing и Google, пренасочвайки ги през своите сървъри, преди да ги предаде на други търсачки.
Засегнатите потребители трябва да предприемат действия
Потребителите, засегнати от атаката на зловреден софтуер, трябва да предприемат следните стъпки, за да смекчат проблема:
- Изтрийте планираната задача, която повторно активира зловреден софтуер ежедневно.
- Премахнете съответните ключове в регистъра.
- Изтрийте следните файлове и папки от системата:
C:\Windows\system32\Privacyblockerwindows.ps1
C:\Windows\system32\Windowsupdater1.ps1
C:\Windows\system32\WindowsUpdater1Script.ps1
C:\Windows\system32\Optimizerwindows.ps1
C:\Windows\system32\Printworkflowservice.ps1
C:\Windows\system32\NvWinSearchOptimizer.ps1 (версия 2024)
C:\Windows\system32\kondserp_optimizer.ps1 (версия от май 2024 г.)
C:\Windows\InternalKernelGrid
C:\Windows\InternalKernelGrid3
C:\Windows\InternalKernelGrid4
C:\Windows\ShellServiceLog
C:\windows\privacyprotectorlog
C:\Windows\NvOptimizerLog
Този тип атака не е безпрецедентна. През декември 2023 г. беше съобщено за подобна кампания, включваща инсталатор на троянски кон, разпространяван чрез торенти. Този инсталатор беше маскиран като VPN приложение, но всъщност беше проектиран да изпълни „хакване на дейност за връщане на пари“.
