Επέκταση Trojan Malware
Εντοπίστηκε εκστρατεία κακόβουλου λογισμικού μεγάλης κλίμακας. Στοχεύει χρήστες εγκαθιστώντας δόλιες επεκτάσεις Google Chrome και Microsoft Edge μέσω ενός Trojan που διανέμεται μέσω ψεύτικων ιστότοπων που παρουσιάζονται ως δημοφιλές λογισμικό. Το Trojan αναπτύσσει μια σειρά από ωφέλιμα φορτία, από βασικές επεκτάσεις adware που παραβιάζουν τις αναζητήσεις έως πιο προηγμένα μη ασφαλή σενάρια που εγκαθιστούν τοπικές επεκτάσεις σχεδιασμένες να συλλέγουν προσωπικά δεδομένα και να εκτελούν διάφορες εντολές. Αυτό το Trojan, ενεργό από το 2021, προέρχεται από πλαστές ιστοσελίδες λήψης που προσφέρουν πρόσθετα για διαδικτυακά παιχνίδια και βίντεο.
Πίνακας περιεχομένων
Εκατοντάδες χιλιάδες επηρεασμένοι χρήστες
Το κακόβουλο λογισμικό και οι σχετικές επεκτάσεις του έχουν επηρεάσει περισσότερους από 300.000 χρήστες στο Google Chrome και τον Microsoft Edge, αποδεικνύοντας την ευρεία φύση της απειλής.
Κεντρικό στοιχείο αυτής της καμπάνιας είναι η χρήση κακόβουλης διαφήμισης για να κατευθύνει τους χρήστες σε παραπλανητικούς ιστότοπους που μιμούνται γνωστό λογισμικό όπως το Roblox FPS Unlocker, το YouTube, το πρόγραμμα αναπαραγωγής πολυμέσων VLC, το Steam ή το KeePass. Αυτοί οι ιστότοποι εξαπατούν τους χρήστες που αναζητούν αυτά τα προγράμματα για να κατεβάσουν έναν Trojan, ο οποίος στη συνέχεια εγκαθιστά τις δόλιες επεκτάσεις του προγράμματος περιήγησης.
Τα κατεστραμμένα προγράμματα εγκατάστασης, τα οποία είναι ψηφιακά υπογεγραμμένα, ρυθμίζουν μια προγραμματισμένη εργασία που ενεργοποιεί ένα σενάριο PowerShell. Αυτό το σενάριο είναι υπεύθυνο για τη λήψη και την εκτέλεση του ωφέλιμου φορτίου επόμενου σταδίου από έναν απομακρυσμένο διακομιστή.
Οι εισβολείς εγκαθιστούν νέα προγράμματα περιήγησης σε παραβιασμένες συσκευές
Αυτό περιλαμβάνει την αλλαγή του μητρώου των Windows για την επιβολή της εισαγωγής επεκτάσεων από το Chrome Web Store και τα πρόσθετα Microsoft Edge, τα οποία μπορούν να παραβιάσουν τα ερωτήματα αναζήτησης στο Google και στο Microsoft Bing, ανακατευθύνοντάς τα μέσω διακομιστών που ελέγχονται από τους εισβολείς.
Η επέκταση έχει σχεδιαστεί ώστε να μην μπορεί να διαγραφεί, ακόμη και με ενεργοποιημένη τη λειτουργία προγραμματιστή. Οι πρόσφατες εκδόσεις του σεναρίου απενεργοποιούν επίσης τις ενημερώσεις του προγράμματος περιήγησης. Επιπλέον, αναπτύσσει μια τοπική επέκταση που λαμβάνεται απευθείας από έναν διακομιστή Command-and-Control (C2), εξοπλισμένο με εκτεταμένες δυνατότητες για την παρακολούθηση όλων των αιτημάτων Ιστού, τη μετάδοση τους στον διακομιστή, την εκτέλεση εντολών και κρυπτογραφημένων σεναρίων και την εισαγωγή σεναρίων σε κάθε ιστοσελίδα.
Επιπλέον, παραλαμβάνει ερωτήματα αναζήτησης από τα Ask.com, Bing και Google, επαναδρομολογώντας τα μέσω των διακομιστών του πριν τα διαβιβάσει σε άλλες μηχανές αναζήτησης.
Οι επηρεαζόμενοι χρήστες πρέπει να αναλάβουν δράση
Οι χρήστες που επηρεάζονται από την επίθεση κακόβουλου λογισμικού θα πρέπει να κάνουν τα ακόλουθα βήματα για να μετριάσουν το πρόβλημα:
- Διαγράψτε την προγραμματισμένη εργασία που επανενεργοποιεί το κακόβουλο λογισμικό καθημερινά.
- Αφαιρέστε τα σχετικά κλειδιά μητρώου.
- Διαγράψτε τα ακόλουθα αρχεία και φακέλους από το σύστημα:
C:\Windows\system32\Privacyblockerwindows.ps1
C:\Windows\system32\Windowsupdater1.ps1
C:\Windows\system32\WindowsUpdater1Script.ps1
C:\Windows\system32\Optimizerwindows.ps1
C:\Windows\system32\Printworkflowservice.ps1
C:\Windows\system32\NvWinSearchOptimizer.ps1 (έκδοση 2024)
C:\Windows\system32\kondserp_optimizer.ps1 (έκδοση Μαΐου 2024)
C:\Windows\InternalKernelGrid
C:\Windows\InternalKernelGrid3
C:\Windows\InternalKernelGrid4
C:\Windows\ShellServiceLog
C:\windows\privacyprotectorlog
C:\Windows\NvOptimizerLog
Αυτό το είδος επίθεσης δεν είναι πρωτοφανές. Τον Δεκέμβριο του 2023, αναφέρθηκε μια παρόμοια καμπάνια, που αφορούσε ένα πρόγραμμα εγκατάστασης Trojan που διανεμήθηκε μέσω torrents. Αυτό το πρόγραμμα εγκατάστασης ήταν μεταμφιεσμένο σε εφαρμογή VPN, αλλά στην πραγματικότητα σχεδιάστηκε για να εκτελέσει μια «κλοπή δραστηριότητας επιστροφής χρημάτων».
