Κακόβουλο λογισμικό επέκτασης Trojan: Μια αυξανόμενη απειλή για τους χρήστες του Google Chrome και του Microsoft Edge

Εντοπίστηκε ένα νέο κύμα κακόβουλου λογισμικού που στοχεύει χρήστες του Google Chrome και του Microsoft Edge εγκαθιστώντας απατεώνες επεκτάσεις προγράμματος περιήγησης μέσω ενός trojan που διανέμεται μέσω ψεύτικων ιστότοπων. Αυτή η καμπάνια, η οποία είναι ενεργή από το 2021, αξιοποιεί ιστοτόπους μίμησης που παρουσιάζονται ως δημοφιλείς σελίδες λήψης λογισμικού για να ξεγελάσουν ανυποψίαστους χρήστες ώστε να κατεβάσουν κακόβουλα προγράμματα εγκατάστασης.

Το τοπίο της απειλής

Το κακόβουλο λογισμικό, που εντοπίστηκε για πρώτη φορά από το ReasonLabs, κυμαίνεται από σχετικά απλές επεκτάσεις adware που παραβιάζουν τα αποτελέσματα αναζήτησης έως πιο εξελιγμένα σενάρια ικανά να κλέβουν ιδιωτικά δεδομένα και να εκτελούν μη εξουσιοδοτημένες εντολές σε μολυσμένα συστήματα. Το trojan έχει ήδη επηρεάσει περισσότερους από 300.000 χρήστες, υπογραμμίζοντας τον εκτεταμένο αντίκτυπο αυτής της καμπάνιας.

Στον πυρήνα αυτής της απειλής είναι η χρήση κακόβουλης διαφήμισης, όπου οι επιτιθέμενοι δημιουργούν παρόμοιους ιστότοπους που προωθούν γνωστά λογισμικό όπως το Roblox FPS Unlocker, το YouTube, το πρόγραμμα αναπαραγωγής πολυμέσων VLC, το Steam και το KeePass. Οι χρήστες που αναζητούν αυτά τα προγράμματα ενδέχεται να παρασυρθούν στη λήψη ενός trojan που χρησιμεύει ως αγωγός για την εγκατάσταση κακόβουλων επεκτάσεων προγράμματος περιήγησης.

Μόλις εγκατασταθούν, αυτά τα ψηφιακά υπογεγραμμένα κακόβουλα προγράμματα εγκατάστασης καταχωρούν μια προγραμματισμένη εργασία στο σύστημα του θύματος, η οποία ενεργοποιεί ένα σενάριο PowerShell για λήψη και εκτέλεση πρόσθετων ωφέλιμων φορτίων από έναν απομακρυσμένο διακομιστή. Αυτά τα ωφέλιμα φορτία περιλαμβάνουν τροποποιήσεις στο Μητρώο των Windows, αναγκάζοντας την εγκατάσταση επεκτάσεων από το Chrome Web Store και τα πρόσθετα του Microsoft Edge. Αυτές οι επεκτάσεις χρησιμοποιούνται στη συνέχεια για την παραβίαση ερωτημάτων αναζήτησης στο Google και στο Microsoft Bing, ανακατευθύνοντάς τα μέσω διακομιστών που ελέγχονται από τους εισβολείς.

Πώς λειτουργεί το κακόβουλο λογισμικό

Οι κακόβουλες επεκτάσεις που εγκαθίστανται από αυτό το trojan δεν αφαιρούνται εύκολα από τους χρήστες, ακόμη και με ενεργοποιημένη τη λειτουργία προγραμματιστή. Οι πρόσφατες εκδόσεις του σεναρίου έχουν γίνει ακόμη πιο επικίνδυνες με την κατάργηση των ενημερώσεων του προγράμματος περιήγησης, ενισχύοντας περαιτέρω το κακόβουλο λογισμικό σε μολυσμένα συστήματα.

Επιπλέον, εκκινείται μια τοπική επέκταση από έναν διακομιστή εντολών και ελέγχου (C2), εξοπλισμένο με εκτεταμένες δυνατότητες. Αναχαιτίζει όλα τα αιτήματα Ιστού, τα στέλνει στον διακομιστή, λαμβάνει εντολές και κρυπτογραφημένα σενάρια και εισάγει κακόβουλο κώδικα σε ιστοσελίδες. Το κακόβουλο λογισμικό παραλαμβάνει επίσης ερωτήματα αναζήτησης από δημοφιλείς μηχανές όπως το Ask.com, το Bing και το Google, διοχετεύοντάς τα μέσω των διακομιστών του πριν τα ανακατευθύνει σε άλλες μηχανές αναζήτησης.

Πώς να αφαιρέσετε το κακόβουλο λογισμικό επέκτασης Trojan

Εάν υποψιάζεστε ότι το σύστημά σας έχει παραβιαστεί από αυτό το κακόβουλο λογισμικό, είναι σημαντικό να λάβετε άμεσα μέτρα για τον μετριασμό της ζημιάς. Ακολουθήστε αυτά τα βήματα για να αφαιρέσετε το κακόβουλο λογισμικό και να επαναφέρετε το σύστημά σας:

1. Διαγραφή της προγραμματισμένης εργασίας: Εντοπίστε και διαγράψτε την προγραμματισμένη εργασία που επανενεργοποιεί καθημερινά το κακόβουλο λογισμικό.
2. Κατάργηση κλειδιών μητρώου: Αποκτήστε πρόσβαση στο μητρώο των Windows και αφαιρέστε τυχόν κλειδιά που σχετίζονται με το κακόβουλο λογισμικό.
3. Διαγραφή κακόβουλων αρχείων και φακέλων: Καταργήστε τα ακόλουθα αρχεία και καταλόγους από το σύστημά σας:
   • C:\Windows\system32\Privacyblockerwindows.ps1
   • C:\Windows\system32\Windowsupdater1.ps1
   • C:\Windows\system32\WindowsUpdater1Script.ps1
   • C:\Windows\system32\Optimizerwindows.ps1
   • C:\Windows\system32\Printworkflowservice.ps1
   • C:\Windows\system32\NvWinSearchOptimizer.ps1 (έκδοση 2024)
   • C:\Windows\system32\kondserp_optimizer.ps1 (έκδοση Μαΐου 2024)
   • C:\Windows\InternalKernelGrid
   • C:\Windows\InternalKernelGrid3
   • C:\Windows\InternalKernelGrid4
   • C:\Windows\ShellServiceLog
   • C:\windows\privacyprotectorlog
   • C:\Windows\NvOptimizerLog

Ακολουθώντας αυτά τα βήματα, μπορείτε να αφαιρέσετε το κακόβουλο λογισμικό και να αποτρέψετε περαιτέρω ζημιά στο σύστημά σας. Ωστόσο, συνιστάται επίσης η εγκατάσταση και η τακτική ενημέρωση ενός αξιόπιστου προγράμματος προστασίας από ιούς για προστασία από μελλοντικές απειλές.

Αυτή η συνεχιζόμενη καμπάνια κακόβουλου λογισμικού χρησιμεύει ως υπενθύμιση των εξελισσόμενων απειλών στον ψηφιακό κόσμο. Παραμένοντας προσεκτικοί και προσεκτικοί, ειδικά κατά τη λήψη λογισμικού από άγνωστες πηγές, οι χρήστες μπορούν να προστατεύσουν τα συστήματά τους από αυτούς τους επικίνδυνους trojans. Πάντα να ελέγχετε την αυθεντικότητα των ιστότοπων και των λήψεων και να διατηρείτε ενημερωμένο το λογισμικό ασφαλείας σας για να προστατεύεστε από τις πιο πρόσφατες απειλές.