Extension Trojan Malware
A fost detectată o campanie de malware la scară largă. Acesta vizează utilizatorii instalând extensii frauduloase Google Chrome și Microsoft Edge printr-un troian distribuit prin site-uri web false care se prezintă drept software popular. Troianul implementează o serie de încărcături utile, de la extensii de bază adware care deturnează căutările până la scripturi nesigure mai avansate care instalează extensii locale concepute pentru a colecta date personale și a executa diverse comenzi. Acest troian, activ din 2021, provine de la site-uri web de descărcare contrafăcute care oferă suplimente pentru jocuri și videoclipuri online.
Cuprins
Sute de mii de utilizatori afectați
Malware-ul și extensiile sale asociate au afectat peste 300.000 de utilizatori de pe Google Chrome și Microsoft Edge, demonstrând natura răspândită a amenințării.
Esențial pentru această campanie este utilizarea malvertising-ului pentru a direcționa utilizatorii către site-uri web înșelătoare care imită software bine-cunoscut precum Roblox FPS Unlocker, YouTube, VLC media player, Steam sau KeePass. Aceste site-uri păcălesc utilizatorii care caută aceste programe să descarce un troian, care apoi instalează extensiile de browser frauduloase.
Programele de instalare corupte, care sunt semnate digital, stabilesc o sarcină programată care declanșează un script PowerShell. Acest script este responsabil pentru descărcarea și executarea încărcăturii utile din etapa următoare de pe un server la distanță.
Atacatorii instalează browsere noi pe dispozitivele compromise
Aceasta implică modificarea Registrului Windows pentru a impune inserarea extensiilor din Chrome Web Store și Microsoft Edge Add-ons, care pot deturna interogările de căutare pe Google și Microsoft Bing, redirecționându-le prin servere controlate de atacatori.
Extensia este proiectată să nu poată fi șters, chiar și cu Modul Dezvoltator activat. Versiunile recente ale scriptului dezactivează și actualizările browserului. În plus, implementează o extensie locală descărcată direct de pe un server Command-and-Control (C2), echipată cu capabilități extinse de a intercepta toate solicitările Web, de a le transmite către server, de a executa comenzi și scripturi criptate și de a injecta scripturi în fiecare pagină Web.
Mai mult, deturnează interogările de căutare de la Ask.com, Bing și Google, redirecționându-le prin serverele sale înainte de a le transmite altor motoare de căutare.
Utilizatorii afectați ar trebui să ia măsuri
Utilizatorii afectați de atacul malware ar trebui să ia următorii pași pentru a atenua problema:
- Ștergeți sarcina programată care reactivează malware-ul zilnic.
- Eliminați cheile de registry relevante.
- Ștergeți următoarele fișiere și foldere din sistem:
C:\Windows\system32\Privacyblockerwindows.ps1
C:\Windows\system32\Windowsupdater1.ps1
C:\Windows\system32\WindowsUpdater1Script.ps1
C:\Windows\system32\Optimizerwindows.ps1
C:\Windows\system32\Printworkflowservice.ps1
C:\Windows\system32\NvWinSearchOptimizer.ps1 (versiunea 2024)
C:\Windows\system32\kondserp_optimizer.ps1 (versiunea mai 2024)
C:\Windows\InternalKernelGrid
C:\Windows\InternalKernelGrid3
C:\Windows\InternalKernelGrid4
C:\Windows\ShellServiceLog
C:\windows\privacyprotectorlog
C:\Windows\NvOptimizerLog
Acest tip de atac nu este fără precedent. În decembrie 2023, a fost raportată o campanie similară, implicând un program de instalare troian distribuit prin torrente. Acest program de instalare a fost deghizat ca o aplicație VPN, dar a fost de fapt proiectat pentru a executa un „hack de activitate cashback”.
