Extension Trojan Malware
Otkrivena je velika kampanja zlonamjernog softvera. Cilja korisnike instaliranjem lažnih proširenja za Google Chrome i Microsoft Edge putem trojanca koji se distribuira putem lažnih web-mjesta koja se predstavljaju kao popularan softver. Trojanac koristi niz korisnih sadržaja, od osnovnih adware ekstenzija koje otimaju pretraživanja do naprednijih nesigurnih skripti koje instaliraju lokalne ekstenzije dizajnirane za prikupljanje osobnih podataka i izvršavanje raznih naredbi. Ovaj trojanac, aktivan od 2021., potječe s krivotvorenih web stranica za preuzimanje koje nude dodatke za online igre i videozapise.
Sadržaj
Stotine tisuća pogođenih korisnika
Zlonamjerni softver i njegova povezana proširenja utjecali su na više od 300.000 korisnika preglednika Google Chrome i Microsoft Edge, pokazujući raširenost prijetnje.
Središnje mjesto u ovoj kampanji je korištenje zlonamjernog oglašavanja za usmjeravanje korisnika na varljive web stranice koje oponašaju poznati softver kao što je Roblox FPS Unlocker, YouTube, VLC media player, Steam ili KeePass. Ove stranice na prevaru navode korisnike koji traže te programe da preuzmu trojanac, koji zatim instalira lažna proširenja preglednika.
Oštećeni instalateri, koji su digitalno potpisani, postavljaju zakazani zadatak koji pokreće skriptu PowerShell. Ova skripta je odgovorna za preuzimanje i izvršavanje sljedećeg stupnja korisnog opterećenja s udaljenog poslužitelja.
Napadači instaliraju nove preglednike na kompromitirane uređaje
To uključuje izmjenu Windows registra kako bi se nametnulo umetanje ekstenzija iz Chrome web trgovine i Microsoft Edge dodataka, koji mogu preoteti upite za pretraživanje na Googleu i Microsoft Bingu, preusmjeravajući ih kroz poslužitelje koje kontroliraju napadači.
Proširenje je dizajnirano da se ne može izbrisati, čak i kada je omogućen Developer Mode. Najnovije verzije skripte također onemogućuju ažuriranja preglednika. Dodatno, postavlja lokalnu ekstenziju preuzetu izravno s Command-and-Control (C2) poslužitelja, opremljenu širokim mogućnostima za presretanje svih web zahtjeva, njihovo prosljeđivanje poslužitelju, izvršavanje naredbi i šifriranih skripti i ubacivanje skripti na svaku web stranicu.
Nadalje, otima upite pretraživanja s Ask.com, Bing i Google, preusmjeravajući ih kroz svoje poslužitelje prije nego što ih proslijedi drugim tražilicama.
Pogođeni korisnici trebali bi nešto poduzeti
Korisnici pogođeni napadom zlonamjernog softvera trebali bi poduzeti sljedeće korake kako bi ublažili problem:
- Izbrišite planirani zadatak koji svakodnevno ponovno aktivira zlonamjerni softver.
- Uklonite relevantne ključeve registra.
- Izbrišite sljedeće datoteke i mape iz sustava:
C:\Windows\system32\Privacyblockerwindows.ps1
C:\Windows\system32\Windowsupdater1.ps1
C:\Windows\system32\WindowsUpdater1Script.ps1
C:\Windows\system32\Optimizerwindows.ps1
C:\Windows\system32\Printworkflowservice.ps1
C:\Windows\system32\NvWinSearchOptimizer.ps1 (verzija 2024)
C:\Windows\system32\kondserp_optimizer.ps1 (verzija iz svibnja 2024.)
C:\Windows\InternalKernelGrid
C:\Windows\InternalKernelGrid3
C:\Windows\InternalKernelGrid4
C:\Windows\ShellServiceLog
C:\windows\privacyprotectorlog
C:\Windows\NvOptimizerLog
Ova vrsta napada nije bez presedana. U prosincu 2023. prijavljena je slična kampanja koja uključuje trojanski instalacijski program koji se distribuira putem torrenta. Ovaj instalacijski program bio je maskiran kao VPN aplikacija, ali je zapravo dizajniran da izvrši 'hakiranje povrata novca'.
