Rozszerzenie przeglądarki Ring

Konfigurator instalacji zawierający porywacza przeglądarki o nazwie „Ring” został wykryty przez badacza infosec podczas badania zwodniczych stron internetowych. Warto zauważyć, że porywacze przeglądarki są zwykle tworzone w konkretnym celu zmiany ważnych ustawień przeglądarki. Jednak w przypadku Ring nie modyfikuje przeglądarek w celu promowania fałszywej wyszukiwarki dmiredindee.com.

Porywacze przeglądarki są znani z natrętnych możliwości

Zwykle porywacze przeglądarki przejmują kontrolę nad przeglądarkami internetowymi, ustawiając promowaną witrynę jako swoją stronę główną, domyślną wyszukiwarkę i nową kartę. Jednak Ring działa inaczej i nie dokonuje tych modyfikacji w przeglądarkach.

Po uruchomieniu instalatora zawierającego rozszerzenie Ring rozszerzenie staje się aktywne, gdy skrypt działa w tle. Co więcej, jeśli przeglądarka Chrome zostanie zamknięta i ponownie otwarta, Ring może zniknąć i pojawić się ponownie.

Warto zauważyć, że jeśli lista rozszerzeń Chrome zostanie otwarta przed uruchomieniem instalatora, Ring będzie widoczny na liście. Jeśli jednak tak nie jest, porywacz przeglądarki całkowicie uniemożliwi dostęp do listy.

Ring powoduje, że zainfekowana przeglądarka przekierowuje do nielegalnej wyszukiwarki dmiredindee.com, która ostatecznie prowadzi do Bing (bing.com). Fałszywe wyszukiwarki, takie jak dmiredindee.com, zazwyczaj przekierowują do legalnych wyszukiwarek, ponieważ zwykle nie są w stanie samodzielnie wygenerować wyników wyszukiwania. Jednak miejsce docelowe przekierowań może się różnić w zależności od czynników, takich jak lokalizacja użytkownika.

Pierścień można usunąć, kończąc proces skryptu o nazwie Windows PowerShell za pośrednictwem Menedżera zadań systemu Windows. Ponowne uruchomienie systemu operacyjnego również zakończy działanie skryptu, usuwając Ring z systemu.

Należy wspomnieć, że oprogramowanie porywające przeglądarkę zazwyczaj ma możliwości śledzenia danych, których można użyć do zbierania poufnych informacji, takich jak historia przeglądania i wyszukiwarek, adresy IP, internetowe pliki cookie, dane logowania, dane osobowe i karta kredytowa liczby. Informacje te mogą być udostępniane lub sprzedawane stronom trzecim, w tym cyberprzestępcom.

PUP (potencjalnie niechciane programy) i porywacze przeglądarki rzadko są instalowane celowo

PUP i porywacze przeglądarki to niechciane programy, które mogą prowadzić do problemów z bezpieczeństwem lub prywatnością. Często są dystrybuowane przy użyciu oszukańczych taktyk, aby nakłonić użytkowników do ich zainstalowania.

Jedną z najczęstszych taktyk dystrybucji używanych do rozprzestrzeniania PUP i porywaczy przeglądarki jest łączenie oprogramowania. Ta taktyka polega na dołączeniu niechcianego programu do legalnego oprogramowania, więc gdy użytkownik pobiera i instaluje zamierzony program, PUP lub porywacz jest również instalowany bez wiedzy użytkownika.

Załączniki wiadomości e-mail mogą być również wykorzystywane do dystrybucji PUP i porywaczy przeglądarki. W tej metodzie użytkownik otrzymuje wiadomość e-mail z załącznikiem, który po otwarciu instaluje niechciany program.

Fałszywe aktualizacje oprogramowania to kolejna taktyka dystrybucji używana do rozprzestrzeniania PUP i porywaczy przeglądarki. W tej metodzie użytkownik jest proszony o pobranie i zainstalowanie aktualizacji oprogramowania, która w rzeczywistości jest niechcianym programem w przebraniu.

Socjotechnika i phishing to również taktyki wykorzystywane do dystrybucji PUP i porywaczy przeglądarki. Inżynieria społeczna polega na nakłonieniu użytkownika do wykonania czynności, której inaczej by nie wykonał, takiej jak pobranie i zainstalowanie niechcianego programu. Phishing polega na nakłanianiu użytkownika do ujawnienia poufnych informacji lub zainstalowania złośliwego oprogramowania, co również może prowadzić do instalacji niechcianych programów.