Extension Trojan Malware
May nakitang malakihang malware campaign. Tina-target nito ang mga user sa pamamagitan ng pag-install ng mga mapanlinlang na extension ng Google Chrome at Microsoft Edge sa pamamagitan ng isang Trojan na ipinamahagi sa pamamagitan ng mga pekeng website na nagpapanggap bilang sikat na software. Nag-deploy ang Trojan ng isang hanay ng mga payload, mula sa mga pangunahing adware extension na nag-hijack ng mga paghahanap hanggang sa mas advanced na hindi ligtas na mga script na nag-i-install ng mga lokal na extension na idinisenyo upang kumuha ng personal na data at magsagawa ng iba't ibang mga command. Ang Trojan na ito, na aktibo mula noong 2021, ay nagmula sa mga pekeng website sa pag-download na nag-aalok ng mga add-on para sa mga online na laro at video.
Talaan ng mga Nilalaman
Daan-daang Libo ng mga Naapektuhang User
Ang malware at ang mga nauugnay na extension nito ay nakaapekto sa mahigit 300,000 user sa Google Chrome at Microsoft Edge, na nagpapakita ng laganap na katangian ng banta.
Ang sentro ng campaign na ito ay ang paggamit ng malvertising para idirekta ang mga user sa mga mapanlinlang na website na ginagaya ang kilalang software tulad ng Roblox FPS Unlocker, YouTube, VLC media player, Steam o KeePass. Nililinlang ng mga site na ito ang mga user na naghahanap ng mga program na ito sa pag-download ng Trojan, na pagkatapos ay nag-i-install ng mga mapanlinlang na extension ng browser.
Ang mga sirang installer, na digital na nilagdaan, ay nagse-set up ng nakaiskedyul na gawain na nagti-trigger ng PowerShell script. Ang script na ito ay may pananagutan para sa pag-download at pagpapatupad ng susunod na yugto ng payload mula sa isang malayong server.
Nag-install ng Mga Bagong Browser ang mga Attacker sa Mga Nakompromisong Device
Kabilang dito ang pagbabago sa Windows Registry upang ipatupad ang paglalagay ng mga extension mula sa Chrome Web Store at Microsoft Edge Add-on, na maaaring mag-hijack ng mga query sa paghahanap sa Google at Microsoft Bing, na nagre-redirect sa mga ito sa pamamagitan ng mga server na kinokontrol ng mga umaatake.
Idinisenyo ang extension na hindi matatanggal, kahit na pinagana ang Developer Mode. Dini-disable din ng mga kamakailang bersyon ng script ang mga update sa browser. Bukod pa rito, nag-deploy ito ng lokal na extension na na-download nang direkta mula sa isang Command-and-Control (C2) server, na nilagyan ng malawak na mga kakayahan upang maharang ang lahat ng mga kahilingan sa Web, i-relay ang mga ito sa server, magsagawa ng mga command at naka-encrypt na script at mag-inject ng mga script sa bawat Web page.
Higit pa rito, ina-hijack nito ang mga query sa paghahanap mula sa Ask.com, Bing, at Google, na ini-rerouting ang mga ito sa mga server nito bago ipasa ang mga ito sa iba pang mga search engine.
Dapat Kumilos ang mga Apektadong User
Dapat gawin ng mga user na apektado ng pag-atake ng malware ang mga sumusunod na hakbang upang mabawasan ang isyu:
- Tanggalin ang naka-iskedyul na gawain na muling nagpapagana sa malware araw-araw.
- Alisin ang may-katuturang mga key ng Registry.
- Tanggalin ang mga sumusunod na file at folder mula sa system:
C:\Windows\system32\Privacyblockerwindows.ps1
C:\Windows\system32\Windowsupdater1.ps1
C:\Windows\system32\WindowsUpdater1Script.ps1
C:\Windows\system32\Optimizerwindows.ps1
C:\Windows\system32\Printworkflowservice.ps1
C:\Windows\system32\NvWinSearchOptimizer.ps1 (2024 na bersyon)
C:\Windows\system32\kondserp_optimizer.ps1 (Mayo 2024 na bersyon)
C:\Windows\InternalKernelGrid
C:\Windows\InternalKernelGrid3
C:\Windows\InternalKernelGrid4
C:\Windows\ShellServiceLog
C:\windows\privacyprotectorlog
C:\Windows\NvOptimizerLog
Ang ganitong uri ng pag-atake ay hindi pa naganap. Noong Disyembre 2023, isang katulad na kampanya ang iniulat, na kinasasangkutan ng isang Trojan installer na ipinamahagi sa pamamagitan ng mga torrents. Ang installer na ito ay itinago bilang isang VPN app ngunit talagang idinisenyo upang magsagawa ng 'cashback activity hack.'
