拡張機能トロイの木馬マルウェア: Google Chrome および Microsoft Edge ユーザーへの脅威が増大

偽のウェブサイト経由で配布されるトロイの木馬を通じて不正なブラウザ拡張機能をインストールすることで、Google Chrome および Microsoft Edge のユーザーを標的とする新しいマルウェアの波が検出されました。2021 年から活動しているこのキャンペーンは、人気のあるソフトウェアのダウンロード ページを装った偽のウェブサイトを利用して、何も知らないユーザーを騙して悪意のあるインストーラーをダウンロードさせます。

脅威の状況

ReasonLabs によって最初に特定されたこのマルウェアは、検索結果をハイジャックする比較的単純なアドウェア拡張機能から、個人データを盗み、感染したシステムで不正なコマンドを実行できる高度なスクリプトまで多岐にわたります。このトロイの木馬はすでに 30 万人以上のユーザーに影響を与えており、このキャンペーンの影響が広範囲に及んでいることが浮き彫りになっています。

この脅威の根底にあるのは、マルバタイジングの使用です。マルバタイジングでは、攻撃者が Roblox FPS Unlocker、YouTube、VLC メディア プレーヤー、Steam、KeePass などのよく知られたソフトウェアを宣伝する類似の Web サイトを作成します。これらのプログラムを検索しているユーザーは、悪意のあるブラウザー拡張機能をインストールするための経路として機能するトロイの木馬をダウンロードするように誘導される可能性があります。

デジタル署名された悪意のあるインストーラーは、インストールされると、被害者のシステムにスケジュールされたタスクを登録します。これにより、PowerShell スクリプトがトリガーされ、リモート サーバーから追加のペイロードがダウンロードされて実行されます。これらのペイロードには、Windows レジストリの変更が含まれており、Chrome ウェブ ストアおよび Microsoft Edge アドオンからの拡張機能のインストールを強制します。これらの拡張機能は、Google および Microsoft Bing での検索クエリをハイジャックし、攻撃者が制御するサーバーにリダイレクトするために使用されます。

マルウェアの動作方法

このトロイの木馬によってインストールされた悪意のある拡張機能は、開発者モードが有効になっている場合でも、ユーザーが簡単に削除することはできません。スクリプトの最新バージョンは、ブラウザの更新を削除することでさらに危険になり、感染したシステムにマルウェアをさらに定着させます。

さらに、広範な機能を備えたコマンド アンド コントロール (C2) サーバーからローカル拡張機能が起動されます。この拡張機能はすべての Web リクエストを傍受してサーバーに送信し、コマンドと暗号化されたスクリプトを受信して、Web ページに悪意のあるコードを挿入します。また、このマルウェアは Ask.com、Bing、Google などの一般的な検索エンジンからの検索クエリをハイジャックし、それをサーバーに送り込んでから他の検索エンジンにリダイレクトします。

拡張機能トロイの木馬マルウェアを削除する方法

システムがこのマルウェアに感染した疑いがある場合は、被害を軽減するために直ちに行動を起こすことが重要です。マルウェアを削除してシステムを復元するには、次の手順に従ってください。

1. スケジュールされたタスクを削除する:マルウェアを毎日再アクティブ化するスケジュールされたタスクを見つけて削除します。
2. レジストリ キーを削除する: Windows レジストリにアクセスし、マルウェアに関連付けられているキーをすべて削除します。
3. 悪意のあるファイルとフォルダを削除する:システムから次のファイルとディレクトリを削除します。
   • C:\Windows\system32\Privacyblockerwindows.ps1
   • C:\Windows\system32\Windowsupdater1.ps1
   • C:\Windows\system32\WindowsUpdater1Script.ps1
   • C:\Windows\system32\Optimizerwindows.ps1
   • C:\Windows\system32\Printworkflowservice.ps1
   • C:\Windows\system32\NvWinSearchOptimizer.ps1 (2024 バージョン)
   • C:\Windows\system32\kondserp_optimizer.ps1 (2024 年 5 月バージョン)
   • C:\Windows\InternalKernelGrid
   • C:\Windows\InternalKernelGrid3
   • C:\Windows\InternalKernelGrid4
   • C:\Windows\ShellServiceLog
   • C:\windows\privacyprotectorlog
   • C:\Windows\NvOptimizerLog

これらの手順に従うことで、マルウェアを削除し、システムへのさらなる被害を防ぐことができます。ただし、将来の脅威から保護するために、信頼できるウイルス対策プログラムをインストールして定期的に更新することもお勧めします。

この進行中のマルウェア攻撃は、デジタル世界における脅威が進化していることを思い起こさせるものです。特に見慣れないソースからソフトウェアをダウンロードする際には、警戒と注意を怠らないことで、ユーザーはこれらの危険なトロイの木馬からシステムを守ることができます。常に Web サイトとダウンロードの信頼性を確認し、セキュリティ ソフトウェアを最新の状態に保って、最新の脅威から身を守りましょう。