Udvidelse Trojan Malware
En storstilet malware-kampagne er blevet opdaget. Den er målrettet mod brugere ved at installere svigagtige Google Chrome- og Microsoft Edge-udvidelser gennem en trojaner distribueret via falske websteder, der udgiver sig for at være populær software. Trojaneren implementerer en række nyttelaster, fra grundlæggende adware-udvidelser, der kaprer søgninger, til mere avancerede usikre scripts, der installerer lokale udvidelser designet til at høste personlige data og udføre forskellige kommandoer. Denne trojaner, aktiv siden 2021, stammer fra falske downloadwebsteder, der tilbyder tilføjelser til onlinespil og videoer.
Indholdsfortegnelse
Hundredtusinder af berørte brugere
Malwaren og dens tilknyttede udvidelser har påvirket over 300.000 brugere på Google Chrome og Microsoft Edge, hvilket viser den udbredte karakter af truslen.
Centralt i denne kampagne er brugen af malvertising for at dirigere brugere til vildledende websteder, der efterligner velkendt software som Roblox FPS Unlocker, YouTube, VLC medieafspiller, Steam eller KeePass. Disse websteder narre brugere, der søger efter disse programmer, til at downloade en trojaner, som derefter installerer de svigagtige browserudvidelser.
De korrupte installationsprogrammer, som er digitalt signeret, sætter en planlagt opgave op, der udløser et PowerShell-script. Dette script er ansvarligt for at downloade og udføre næste trins nyttelast fra en fjernserver.
Angribere installerer nye browsere på de kompromitterede enheder
Dette involverer ændring af Windows-registreringsdatabasen for at gennemtvinge indsættelse af udvidelser fra Chrome Web Store og Microsoft Edge-tilføjelser, som kan kapre søgeforespørgsler på Google og Microsoft Bing og omdirigere dem gennem servere, der kontrolleres af angriberne.
Udvidelsen er designet til at kunne slettes, selv med Developer Mode aktiveret. Nylige versioner af scriptet deaktiverer også browseropdateringer. Derudover implementerer den en lokal udvidelse, der downloades direkte fra en Command-and-Control-server (C2), udstyret med omfattende muligheder for at opsnappe alle web-anmodninger, videresende dem til serveren, udføre kommandoer og krypterede scripts og injicere scripts på hver webside.
Desuden kaprer den søgeforespørgsler fra Ask.com, Bing og Google og omdirigerer dem gennem sine servere, før de videregives til andre søgemaskiner.
Berørte brugere bør handle
Brugere, der er berørt af malwareangrebet, bør tage følgende trin for at afhjælpe problemet:
- Slet den planlagte opgave, der genaktiverer malwaren dagligt.
- Fjern de relevante registreringsdatabasenøgler.
- Slet følgende filer og mapper fra systemet:
C:\Windows\system32\Privacyblockerwindows.ps1
C:\Windows\system32\Windowsupdater1.ps1
C:\Windows\system32\WindowsUpdater1Script.ps1
C:\Windows\system32\Optimizerwindows.ps1
C:\Windows\system32\Printworkflowservice.ps1
C:\Windows\system32\NvWinSearchOptimizer.ps1 (2024-version)
C:\Windows\system32\kondserp_optimizer.ps1 (maj 2024-version)
C:\Windows\InternalKernelGrid
C:\Windows\InternalKernelGrid3
C:\Windows\InternalKernelGrid4
C:\Windows\ShellServiceLog
C:\windows\privacyprotectorlog
C:\Windows\NvOptimizerLog
Denne type angreb er ikke uden fortilfælde. I december 2023 blev en lignende kampagne rapporteret, der involverede et trojansk installationsprogram distribueret gennem torrents. Dette installationsprogram var forklædt som en VPN-app, men var faktisk designet til at udføre et 'cashback-aktivitetshack'.
