Extension Trojan Malware
Kempen perisian hasad berskala besar telah dikesan. Ia menyasarkan pengguna dengan memasang pelanjutan Google Chrome dan Microsoft Edge palsu melalui Trojan yang diedarkan melalui laman web palsu yang menyamar sebagai perisian popular. Trojan menggunakan julat muatan, daripada sambungan perisian iklan asas yang merampas carian kepada skrip tidak selamat yang lebih maju yang memasang sambungan tempatan yang direka untuk mengumpulkan data peribadi dan melaksanakan pelbagai arahan. Trojan ini, aktif sejak 2021, berasal daripada tapak web muat turun palsu yang menawarkan alat tambah untuk permainan dan video dalam talian.
Isi kandungan
Beratus-ratus Ribu Pengguna Terpengaruh
Perisian hasad dan sambungannya yang berkaitan telah memberi kesan kepada lebih 300,000 pengguna di Google Chrome dan Microsoft Edge, menunjukkan sifat ancaman yang meluas.
Inti kepada kempen ini ialah penggunaan malvertising untuk mengarahkan pengguna ke tapak web menipu yang meniru perisian terkenal seperti Roblox FPS Unlocker, YouTube, pemain media VLC, Steam atau KeePass. Laman web ini menipu pengguna yang mencari program ini untuk memuat turun Trojan, yang kemudiannya memasang pelanjutan penyemak imbas palsu.
Pemasang yang rosak, yang ditandatangani secara digital, menyediakan tugas berjadual yang mencetuskan skrip PowerShell. Skrip ini bertanggungjawab untuk memuat turun dan melaksanakan muatan peringkat seterusnya daripada pelayan jauh.
Penyerang Memasang Pelayar Baharu pada Peranti Yang Dikompromi
Ini melibatkan pengubahan Windows Registry untuk menguatkuasakan pemasukan sambungan daripada Kedai Web Chrome dan Microsoft Edge Add-ons, yang boleh merampas pertanyaan carian di Google dan Microsoft Bing, mengubah halanya melalui pelayan yang dikawal oleh penyerang.
Sambungan direka bentuk untuk tidak boleh dipadam, walaupun dengan Mod Pembangun didayakan. Versi terbaru skrip juga melumpuhkan kemas kini penyemak imbas. Selain itu, ia menggunakan sambungan tempatan yang dimuat turun terus daripada pelayan Command-and-Control (C2), dilengkapi dengan keupayaan yang luas untuk memintas semua permintaan Web, menyampaikannya ke pelayan, melaksanakan arahan dan skrip yang disulitkan dan menyuntik skrip ke dalam setiap halaman Web.
Tambahan pula, ia merampas pertanyaan carian daripada Ask.com, Bing dan Google, mengubah halanya melalui pelayannya sebelum menghantarnya ke enjin carian lain.
Pengguna yang Terjejas Harus Mengambil Tindakan
Pengguna yang terjejas oleh serangan perisian hasad harus mengambil langkah berikut untuk mengurangkan isu tersebut:
- Padamkan tugas berjadual yang mengaktifkan semula perisian hasad setiap hari.
- Alih keluar kekunci Pendaftaran yang berkaitan.
- Padam fail dan folder berikut daripada sistem:
C:\Windows\system32\Privacyblockerwindows.ps1
C:\Windows\system32\Windowsupdater1.ps1
C:\Windows\system32\WindowsUpdater1Script.ps1
C:\Windows\system32\Optimizerwindows.ps1
C:\Windows\system32\Printworkflowservice.ps1
C:\Windows\system32\NvWinSearchOptimizer.ps1 (versi 2024)
C:\Windows\system32\kondserp_optimizer.ps1 (versi Mei 2024)
C:\Windows\InternalKernelGrid
C:\Windows\InternalKernelGrid3
C:\Windows\InternalKernelGrid4
C:\Windows\ShellServiceLog
C:\windows\privacyprotectorlog
C:\Windows\NvOptimizerLog
Serangan jenis ini tidak pernah berlaku sebelum ini. Pada Disember 2023, kempen serupa telah dilaporkan, melibatkan pemasang Trojan yang diedarkan melalui torrents. Pemasang ini menyamar sebagai apl VPN tetapi sebenarnya direka untuk melaksanakan 'godam aktiviti pulangan tunai.'
