Rozšírenie Trojan Malware
Bola zistená rozsiahla malvérová kampaň. Zameriava sa na používateľov inštaláciou podvodných rozšírení Google Chrome a Microsoft Edge prostredníctvom trójskeho koňa distribuovaného prostredníctvom falošných webových stránok, ktoré sa vydávajú za populárny softvér. Trójsky kôň využíva celý rad užitočných zaťažení, od základných adwarových rozšírení, ktoré unášajú vyhľadávanie, až po pokročilejšie nebezpečné skripty, ktoré inštalujú lokálne rozšírenia určené na zber osobných údajov a vykonávanie rôznych príkazov. Tento trójsky kôň, aktívny od roku 2021, pochádza z falošných webových stránok na stiahnutie, ktoré ponúkajú doplnky pre online hry a videá.
Obsah
Stovky tisíc dotknutých používateľov
Malvér a jeho pridružené rozšírenia zasiahli viac ako 300 000 používateľov prehliadačov Google Chrome a Microsoft Edge, čo dokazuje rozšírený charakter hrozby.
Ústredným bodom tejto kampane je použitie škodlivej inzercie na nasmerovanie používateľov na klamlivé webové stránky, ktoré napodobňujú známy softvér, ako je Roblox FPS Unlocker, YouTube, prehrávač médií VLC, Steam alebo KeePass. Tieto stránky oklamú používateľov hľadajúcich tieto programy, aby si stiahli trójskeho koňa, ktorý potom nainštaluje podvodné rozšírenia prehliadača.
Poškodené inštalačné programy, ktoré sú digitálne podpísané, nastavia naplánovanú úlohu, ktorá spustí skript PowerShell. Tento skript je zodpovedný za sťahovanie a spustenie dátového zaťaženia ďalšej fázy zo vzdialeného servera.
Útočníci Inštalujú nové prehliadače na napadnuté zariadenia
Zahŕňa to zmenu databázy Registry systému Windows s cieľom vynútiť vkladanie rozšírení z Internetového obchodu Chrome a doplnkov Microsoft Edge, ktoré môžu uniesť vyhľadávacie dopyty v službách Google a Microsoft Bing a presmerovať ich cez servery kontrolované útočníkmi.
Rozšírenie je navrhnuté tak, aby sa nedalo odstrániť, a to aj pri povolenom režime vývojára. Najnovšie verzie skriptu tiež zakazujú aktualizácie prehliadača. Okrem toho nasadzuje lokálne rozšírenie stiahnuté priamo zo servera Command-and-Control (C2), vybavené rozsiahlymi možnosťami na zachytávanie všetkých webových požiadaviek, ich prenos na server, vykonávanie príkazov a šifrovaných skriptov a vkladanie skriptov do každej webovej stránky.
Okrem toho unesie vyhľadávacie dopyty z Ask.com, Bing a Google, presmeruje ich cez svoje servery predtým, ako ich odovzdá iným vyhľadávačom.
Dotknutí používatelia by mali konať
Používatelia ovplyvnení malvérovým útokom by mali na zmiernenie problému podniknúť nasledujúce kroky:
- Odstráňte naplánovanú úlohu, ktorá denne znova aktivuje malvér.
- Odstráňte príslušné kľúče databázy Registry.
- Odstráňte zo systému nasledujúce súbory a priečinky:
C:\Windows\system32\Privacyblockerwindows.ps1
C:\Windows\system32\Windowsupdater1.ps1
C:\Windows\system32\WindowsUpdater1Script.ps1
C:\Windows\system32\Optimizerwindows.ps1
C:\Windows\system32\Printworkflowservice.ps1
C:\Windows\system32\NvWinSearchOptimizer.ps1 (verzia 2024)
C:\Windows\system32\kondserp_optimizer.ps1 (verzia z mája 2024)
C:\Windows\InternalKernelGrid
C:\Windows\InternalKernelGrid3
C:\Windows\InternalKernelGrid4
C:\Windows\ShellServiceLog
C:\windows\privacyprotectorlog
C:\Windows\NvOptimizerLog
Tento typ útoku nie je bezprecedentný. V decembri 2023 bola hlásená podobná kampaň, ktorá zahŕňala inštalátor trójskych koní distribuovaný cez torrenty. Tento inštalačný program bol zamaskovaný ako aplikácia VPN, ale v skutočnosti bol navrhnutý tak, aby vykonal „hacking aktivity cashback“.
