Estensione Trojan Malware
È stata rilevata una campagna malware su larga scala. Prende di mira gli utenti installando estensioni fraudolente di Google Chrome e Microsoft Edge tramite un Trojan distribuito tramite siti Web falsi che si spacciano per software popolari. Il Trojan distribuisce una gamma di payload, da estensioni adware di base che dirottano le ricerche a script non sicuri più avanzati che installano estensioni locali progettate per raccogliere dati personali ed eseguire vari comandi. Questo Trojan, attivo dal 2021, ha origine da siti Web di download contraffatti che offrono componenti aggiuntivi per giochi e video online.
Sommario
Centinaia di migliaia di utenti interessati
Il malware e le estensioni associate hanno colpito oltre 300.000 utenti su Google Chrome e Microsoft Edge, dimostrando la natura diffusa della minaccia.
Al centro di questa campagna c'è l'uso del malvertising per indirizzare gli utenti verso siti Web ingannevoli che imitano software noti come Roblox FPS Unlocker, YouTube, VLC media player, Steam o KeePass. Questi siti ingannano gli utenti che cercano questi programmi inducendoli a scaricare un Trojan, che poi installa le estensioni fraudolente del browser.
Gli installer corrotti, che sono firmati digitalmente, impostano un'attività pianificata che attiva uno script PowerShell. Questo script è responsabile del download e dell'esecuzione del payload di fase successiva da un server remoto.
Gli aggressori installano nuovi browser sui dispositivi compromessi
Ciò comporta la modifica del Registro di sistema di Windows per imporre l'inserimento di estensioni dal Chrome Web Store e dai componenti aggiuntivi di Microsoft Edge, che possono dirottare le query di ricerca su Google e Microsoft Bing, reindirizzandole tramite server controllati dagli aggressori.
L'estensione è progettata per essere non eliminabile, anche con la modalità sviluppatore abilitata. Le versioni recenti dello script disabilitano anche gli aggiornamenti del browser. Inoltre, distribuisce un'estensione locale scaricata direttamente da un server Command-and-Control (C2), dotata di ampie capacità per intercettare tutte le richieste Web, inoltrarle al server, eseguire comandi e script crittografati e iniettare script in ogni pagina Web.
Inoltre, dirotta le query di ricerca di Ask.com, Bing e Google, reindirizzandole attraverso i suoi server prima di passarle ad altri motori di ricerca.
Gli utenti interessati dovrebbero prendere provvedimenti
Gli utenti interessati dall'attacco malware devono adottare le seguenti misure per mitigare il problema:
- Eliminare l'attività pianificata che riattiva quotidianamente il malware.
- Rimuovere le chiavi di registro pertinenti.
- Eliminare i seguenti file e cartelle dal sistema:
C:\Windows\system32\Privacyblockerwindows.ps1
C:\Windows\system32\Windowsupdater1.ps1
C:\Windows\system32\WindowsUpdater1Script.ps1
C:\Windows\system32\Optimizerwindows.ps1
C:\Windows\system32\Printworkflowservice.ps1
C:\Windows\system32\NvWinSearchOptimizer.ps1 (versione 2024)
C:\Windows\system32\kondserp_optimizer.ps1 (versione di maggio 2024)
C:\Windows\GrigliaKernelInterna
C:\Windows\InternalKernelGrid3
C:\Windows\InternalKernelGrid4
C:\Windows\ShellServiceLog
C:\windows\privacyprotectorlog
C:\Windows\NvOptimizerLog
Questo tipo di attacco non è senza precedenti. A dicembre 2023 è stata segnalata una campagna simile, che coinvolgeva un Trojan installer distribuito tramite torrent. Questo installer era camuffato da app VPN ma in realtà era progettato per eseguire un "cashback activity hack".
