Extension Trojan Malware
Laajamittainen haittaohjelmakampanja on havaittu. Se kohdistuu käyttäjiin asentamalla vilpillisiä Google Chrome- ja Microsoft Edge -laajennuksia troijalaisen kautta, jota jaetaan suosittuina ohjelmistoina esiintyvien väärennettyjen verkkosivustojen kautta. Troijalainen käyttää useita hyötykuormia, perusmainosohjelmalaajennuksista, jotka kaappaavat hakuja, kehittyneempiin vaarallisiin komentosarjoihin, jotka asentavat paikallisia laajennuksia, jotka on suunniteltu keräämään henkilökohtaisia tietoja ja suorittamaan erilaisia komentoja. Tämä vuodesta 2021 toiminut troijalainen on peräisin väärennösten lataussivustoilta, jotka tarjoavat lisäosia verkkopeleihin ja -videoihin.
Sisällysluettelo
Satoja tuhansia käyttäjiä, joihin se vaikuttaa
Haittaohjelma ja siihen liittyvät laajennukset ovat vaikuttaneet yli 300 000 käyttäjään Google Chromessa ja Microsoft Edgessä, mikä osoittaa uhan laajalle levinneen luonteen.
Keskeistä tässä kampanjassa on käyttäjien ohjaaminen harhaanjohtaville verkkosivustoille, jotka jäljittelevät tunnettuja ohjelmistoja, kuten Roblox FPS Unlocker, YouTube, VLC-mediasoitin, Steam tai KeePass. Nämä sivustot huijaavat näitä ohjelmia etsiviä käyttäjiä lataamaan troijalaisen, joka asentaa sitten vilpilliset selainlaajennukset.
Vioittuneet asentajat, jotka on allekirjoitettu digitaalisesti, määrittävät ajoitetun tehtävän, joka käynnistää PowerShell-komentosarjan. Tämä komentosarja on vastuussa seuraavan vaiheen hyötykuorman lataamisesta ja suorittamisesta etäpalvelimelta.
Hyökkääjät asentavat uusia selaimia vaarantuneisiin laitteisiin
Tämä edellyttää Windowsin rekisterin muuttamista niin, että laajennukset lisätään Chrome Web Storesta ja Microsoft Edge -lisäosista, jotka voivat kaapata Googlen ja Microsoft Bingin hakukyselyt ja ohjata ne hyökkääjien hallitsemien palvelimien kautta.
Laajennus on suunniteltu poistamattomaksi, vaikka kehittäjätila olisi käytössä. Skriptin viimeisimmät versiot estävät myös selaimen päivitykset. Lisäksi se ottaa käyttöön paikallisen laajennuksen, joka on ladattu suoraan Command-and-Control (C2) -palvelimelta ja joka on varustettu laajalla kyvyllä siepata kaikki Web-pyynnöt, välittää ne palvelimelle, suorittaa komentoja ja salattuja komentosarjoja ja lisätä komentosarjoja jokaiselle Web-sivulle.
Lisäksi se kaappaa Ask.com-, Bing- ja Google-hakukyselyt ja reitittää ne uudelleen palvelimiensa kautta ennen kuin välittää ne muille hakukoneille.
Asianomaisten käyttäjien tulee ryhtyä toimiin
Käyttäjien, joihin haittaohjelmahyökkäys vaikuttaa, tulee ryhtyä seuraaviin toimiin ongelman lieventämiseksi:
- Poista ajoitettu tehtävä, joka aktivoi haittaohjelman uudelleen päivittäin.
- Poista tarvittavat rekisteriavaimet.
- Poista seuraavat tiedostot ja kansiot järjestelmästä:
C:\Windows\system32\Privacyblockerwindows.ps1
C:\Windows\system32\Windowsupdater1.ps1
C:\Windows\system32\WindowsUpdater1Script.ps1
C:\Windows\system32\Optimizerwindows.ps1
C:\Windows\system32\Printworkflowservice.ps1
C:\Windows\system32\NvWinSearchOptimizer.ps1 (2024-versio)
C:\Windows\system32\kondserp_optimizer.ps1 (toukokuun 2024 versio)
C:\Windows\InternalKernelGrid
C:\Windows\InternalKernelGrid3
C:\Windows\InternalKernelGrid4
C:\Windows\ShellServiceLog
C:\windows\privacyprotectorlog
C:\Windows\NvOptimizerLog
Tämäntyyppinen hyökkäys ei ole ennennäkemätön. Joulukuussa 2023 ilmoitettiin samankaltaisesta kampanjasta, johon osallistui torrentien kautta levitetty troijalainen asennusohjelma. Tämä asennusohjelma oli naamioitu VPN-sovellukseksi, mutta se oli itse asiassa suunniteltu suorittamaan "cashback-toimintahakkerointi".
