Екстензија тројански злонамерни софтвер
Откривена је велика кампања злонамерног софтвера. Циља на кориснике инсталирањем лажних екстензија за Гоогле Цхроме и Мицрософт Едге преко тројанца који се дистрибуира преко лажних веб локација које се представљају као популарни софтвер. Тројанац примењује низ корисних садржаја, од основних екстензија за рекламни софтвер који отимају претраге до напреднијих небезбедних скрипти које инсталирају локална проширења дизајнирана да прикупљају личне податке и извршавају различите команде. Овај тројанац, активан од 2021. године, потиче са лажних веб локација за преузимање које нуде додатке за онлајн игре и видео записе.
Преглед садржаја
Стотине хиљада погођених корисника
Малвер и повезана проширења утицали су на преко 300.000 корисника на Гоогле Цхроме-у и Мицрософт Едге-у, показујући распрострањену природу претње.
Централно за ову кампању је коришћење злонамерног оглашавања за усмеравање корисника на обмањујуће веб локације које опонашају добро познати софтвер као што су Роблок ФПС Унлоцкер, ИоуТубе, ВЛЦ медиа плејер, Стеам или КееПасс. Ови сајтови преваре кориснике који траже ове програме да преузму тројанца, који затим инсталира лажна проширења претраживача.
Оштећени инсталатери, који су дигитално потписани, постављају заказани задатак који покреће ПоверСхелл скрипту. Ова скрипта је одговорна за преузимање и извршавање корисног оптерећења следеће фазе са удаљеног сервера.
Нападачи инсталирају нове претраживаче на компромитоване уређаје
Ово укључује промену Виндовс регистра да би се наметнуло уметање екстензија из Цхроме веб продавнице и Мицрософт Едге додатака, који могу да отму упите за претрагу на Гоогле-у и Мицрософт Бинг-у, преусмеравајући их преко сервера које контролишу нападачи.
Екстензија је дизајнирана да се не може избрисати, чак и када је омогућен режим програмера. Недавне верзије скрипте такође онемогућавају ажурирања прегледача. Поред тога, примењује локалну екстензију преузету директно са сервера за команду и контролу (Ц2), опремљену широким могућностима да пресретне све веб захтеве, пренесе их на сервер, изврши команде и шифроване скрипте и убаци скрипте у сваку веб страницу.
Штавише, отима упите за претрагу са Аск.цом, Бинг-а и Гоогле-а, преусмеравајући их преко својих сервера пре него што их прослеђује другим претраживачима.
Погођени корисници треба да предузму мере
Корисници погођени нападом малвера треба да предузму следеће кораке да би ублажили проблем:
- Избришите заказани задатак који свакодневно поново активира малвер.
- Уклоните релевантне кључеве регистратора.
- Избришите следеће датотеке и фасцикле из система:
Ц:\Виндовс\систем32\Привациблоцкервиндовс.пс1
Ц:\Виндовс\систем32\Виндовсупдатер1.пс1
Ц:\Виндовс\систем32\ВиндовсУпдатер1Сцрипт.пс1
Ц:\Виндовс\систем32\Оптимизервиндовс.пс1
Ц:\Виндовс\систем32\Принтворкфловсервице.пс1
Ц:\Виндовс\систем32\НвВинСеарцхОптимизер.пс1 (верзија 2024)
Ц:\Виндовс\систем32\кондсерп_оптимизер.пс1 (верзија из маја 2024.)
Ц:\Виндовс\ИнтерналКернелГрид
Ц:\Виндовс\ИнтерналКернелГрид3
Ц:\Виндовс\ИнтерналКернелГрид4
Ц:\Виндовс\СхеллСервицеЛог
Ц:\виндовс\приваципротецторлог
Ц:\Виндовс\НвОптимизерЛог
Ова врста напада није без преседана. У децембру 2023. пријављена је слична кампања која је укључивала инсталатер тројанаца дистрибуиран путем торрента. Овај инсталатер је био маскиран као ВПН апликација, али је заправо дизајниран да изврши „хак за повраћај новца“.
