Extension Trojan Malware: En voksende trussel mod Google Chrome- og Microsoft Edge-brugere

En ny bølge af malware er blevet opdaget rettet mod brugere af Google Chrome og Microsoft Edge ved at installere useriøse browserudvidelser gennem en trojan distribueret via falske websteder. Denne kampagne, som har været aktiv siden 2021, udnytter efterlignede websteder, der poserer som populære softwaredownloadsider til at narre intetanende brugere til at downloade ondsindede installationsprogrammer.

Trusselslandskabet

Malwaren, der først blev identificeret af ReasonLabs, spænder fra relativt simple adware-udvidelser, der kaprer søgeresultater, til mere sofistikerede scripts, der er i stand til at stjæle private data og udføre uautoriserede kommandoer på inficerede systemer. Trojanen har allerede påvirket over 300.000 brugere, hvilket understreger den udbredte virkning af denne kampagne.

Kernen i denne trussel er brugen af malvertising, hvor angribere skaber lignende websteder, der promoverer velkendt software såsom Roblox FPS Unlocker, YouTube, VLC medieafspiller, Steam og KeePass. Brugere, der søger efter disse programmer, kan blive lokket til at downloade en trojan, der fungerer som en kanal til installation af ondsindede browserudvidelser.

Når de er installeret, registrerer disse digitalt signerede ondsindede installatører en planlagt opgave på ofrets system, som udløser et PowerShell-script til at downloade og udføre yderligere nyttelast fra en ekstern server. Disse nyttelaster inkluderer ændringer af Windows-registreringsdatabasen, der tvinger installationen af udvidelser fra Chrome Webshop og Microsoft Edge-tilføjelser. Disse udvidelser bruges derefter til at kapre søgeforespørgsler på Google og Microsoft Bing og omdirigere dem gennem angriberkontrollerede servere.

Hvordan malwaren fungerer

De ondsindede udvidelser, der er installeret af denne trojan, er ikke let at fjerne af brugere, selv med udviklertilstand aktiveret. Nylige versioner af scriptet er blevet endnu farligere ved at fjerne browseropdateringer, hvilket yderligere forankre malwaren på inficerede systemer.

Derudover lanceres en lokal udvidelse fra en kommando-og-kontrol-server (C2), udstyret med omfattende muligheder. Den opsnapper alle webanmodninger, sender dem til serveren, modtager kommandoer og krypterede scripts og injicerer ondsindet kode på websider. Malwaren kaprer også søgeforespørgsler fra populære maskiner som Ask.com, Bing og Google og sender dem gennem sine servere, før de omdirigeres til andre søgemaskiner.

Sådan fjerner du udvidelsen Trojan Malware

Hvis du har mistanke om, at dit system er blevet kompromitteret af denne malware, er det afgørende at træffe øjeblikkelige foranstaltninger for at afbøde skaden. Følg disse trin for at fjerne malwaren og gendanne dit system:

1. Slet den planlagte opgave: Find og slet den planlagte opgave, der dagligt genaktiverer malwaren.
2. Fjern registreringsdatabasenøgler: Få adgang til Windows registreringsdatabasen, og fjern alle nøgler, der er forbundet med malwaren.
3. Slet skadelige filer og mapper: Fjern følgende filer og mapper fra dit system:
   • C:\Windows\system32\Privacyblockerwindows.ps1
   • C:\Windows\system32\Windowsupdater1.ps1
   • C:\Windows\system32\WindowsUpdater1Script.ps1
   • C:\Windows\system32\Optimizerwindows.ps1
   • C:\Windows\system32\Printworkflowservice.ps1
   • C:\Windows\system32\NvWinSearchOptimizer.ps1 (2024-version)
   • C:\Windows\system32\kondserp_optimizer.ps1 (maj 2024-version)
   • C:\Windows\InternalKernelGrid
   • C:\Windows\InternalKernelGrid3
   • C:\Windows\InternalKernelGrid4
   • C:\Windows\ShellServiceLog
   • C:\windows\privacyprotectorlog
   • C:\Windows\NvOptimizerLog

Ved at følge disse trin kan du fjerne malwaren og forhindre yderligere skade på dit system. Det anbefales dog også at installere og regelmæssigt opdatere et velrenommeret antivirusprogram for at beskytte mod fremtidige trusler.

Denne igangværende malware-kampagne tjener som en påmindelse om de udviklende trusler i den digitale verden. Ved at være på vagt og forsigtig, især når de downloader software fra ukendte kilder, kan brugere beskytte deres systemer mod disse farlige trojanske heste. Bekræft altid ægtheden af websteder og downloads, og hold din sikkerhedssoftware opdateret for at forsvare sig mod de seneste trusler.