Extension Trojan Malware
Zaznana je bila obsežna kampanja zlonamerne programske opreme. Cilja na uporabnike z nameščanjem goljufivih razširitev za Google Chrome in Microsoft Edge prek trojanca, ki se distribuira prek lažnih spletnih mest, ki se izdajajo za priljubljeno programsko opremo. Trojanec uporablja vrsto uporabnih vsebin, od osnovnih razširitev oglaševalske programske opreme, ki ugrabijo iskanje, do naprednejših nevarnih skriptov, ki namestijo lokalne razširitve, namenjene zbiranju osebnih podatkov in izvajanju različnih ukazov. Ta trojanec, aktiven od leta 2021, izvira iz ponarejenih spletnih mest za prenos, ki ponujajo dodatke za spletne igre in videoposnetke.
Kazalo
Na stotine tisoč prizadetih uporabnikov
Zlonamerna programska oprema in z njo povezane razširitve so prizadele več kot 300.000 uporabnikov brskalnikov Google Chrome in Microsoft Edge, kar dokazuje razširjenost grožnje.
Osrednji del te kampanje je uporaba zlonamernega oglaševanja za usmerjanje uporabnikov na goljufiva spletna mesta, ki posnemajo znano programsko opremo, kot je Roblox FPS Unlocker, YouTube, VLC media player, Steam ali KeePass. Ta spletna mesta zavedejo uporabnike, ki iščejo te programe, da prenesejo trojanca, ki nato namesti goljufive razširitve brskalnika.
Poškodovani namestitveni programi, ki so digitalno podpisani, nastavijo načrtovano nalogo, ki sproži skript PowerShell. Ta skript je odgovoren za prenos in izvajanje koristnega tovora naslednje stopnje z oddaljenega strežnika.
Napadalci namestijo nove brskalnike na ogrožene naprave
To vključuje spremembo registra Windows, da se uveljavi vstavljanje razširitev iz spletne trgovine Chrome in dodatkov Microsoft Edge, ki lahko ugrabijo iskalne poizvedbe v Googlu in Microsoft Bingu ter jih preusmerijo prek strežnikov, ki jih nadzorujejo napadalci.
Razširitev je zasnovana tako, da je ni mogoče izbrisati, tudi če je omogočen način za razvijalce. Zadnje različice skripta onemogočajo tudi posodobitve brskalnika. Poleg tega uporablja lokalno razširitev, preneseno neposredno s strežnika Command-and-Control (C2), opremljeno z obsežnimi zmožnostmi za prestrezanje vseh spletnih zahtev, njihovo posredovanje strežniku, izvajanje ukazov in šifriranih skriptov ter vbrizgavanje skriptov na vsako spletno stran.
Poleg tega ugrabi iskalne poizvedbe iz Ask.com, Bing in Google ter jih preusmeri prek svojih strežnikov, preden jih posreduje drugim iskalnikom.
Prizadeti uporabniki bi morali ukrepati
Uporabniki, ki jih napade zlonamerna programska oprema, morajo storiti naslednje, da ublažijo težavo:
- Izbrišite načrtovano nalogo, ki dnevno znova aktivira zlonamerno programsko opremo.
- Odstranite ustrezne registrske ključe.
- Izbrišite naslednje datoteke in mape iz sistema:
C:\Windows\system32\Privacyblockerwindows.ps1
C:\Windows\system32\Windowsupdater1.ps1
C:\Windows\system32\WindowsUpdater1Script.ps1
C:\Windows\system32\Optimizerwindows.ps1
C:\Windows\system32\Printworkflowservice.ps1
C:\Windows\system32\NvWinSearchOptimizer.ps1 (različica 2024)
C:\Windows\system32\kondserp_optimizer.ps1 (različica iz maja 2024)
C:\Windows\InternalKernelGrid
C:\Windows\InternalKernelGrid3
C:\Windows\InternalKernelGrid4
C:\Windows\ShellServiceLog
C:\windows\privacyprotectorlog
C:\Windows\NvOptimizerLog
Ta vrsta napada ni brez primere. Decembra 2023 so poročali o podobni kampanji, ki je vključevala namestitveni program trojanca, ki se je distribuiral prek torrentov. Ta namestitveni program je bil preoblečen v aplikacijo VPN, vendar je bil v resnici zasnovan za izvajanje 'vdora v dejavnost vračila denarja'.
