Plėtinys Trojos arklys: didėjanti grėsmė „Google Chrome“ ir „Microsoft Edge“ naudotojams

Aptikta nauja kenkėjiškų programų banga, nukreipta į „Google Chrome“ ir „Microsoft Edge“ naudotojus, įdiegiant nesąžiningus naršyklės plėtinius per Trojos arklys, platinamas per netikras svetaines. Ši kampanija, kuri vykdoma nuo 2021 m., pasitelkia imitacines svetaines, kurios yra populiarios programinės įrangos atsisiuntimo puslapiai, siekiant apgauti nieko neįtariančius vartotojus atsisiųsti kenkėjiškas diegimo programas.

Grėsmės peizažas

Kenkėjiška programa, kurią pirmą kartą nustatė „ReasonLabs“, svyruoja nuo gana paprastų reklaminių programų plėtinių, kurie užgrobia paieškos rezultatus, iki sudėtingesnių scenarijų, galinčių pavogti privačius duomenis ir vykdyti neteisėtas komandas užkrėstose sistemose. Trojos arklys jau paveikė daugiau nei 300 000 vartotojų, o tai pabrėžia platų šios kampanijos poveikį.

Šios grėsmės esmė yra piktnaudžiavimas, kai užpuolikai kuria panašias svetaines, reklamuojančias gerai žinomą programinę įrangą, tokią kaip Roblox FPS Unlocker, YouTube, VLC medijos leistuvas, Steam ir KeePass. Vartotojai, ieškantys šių programų, gali būti privilioti atsisiųsti Trojos arklys, kuris yra kanalas diegiant kenkėjiškus naršyklės plėtinius.

Įdiegę šie skaitmeniniu parašu pasirašyti kenkėjiški diegimo programos aukos sistemoje užregistruoja suplanuotą užduotį, kuri suaktyvina „PowerShell“ scenarijų, kad būtų galima atsisiųsti ir vykdyti papildomus naudingus krovinius iš nuotolinio serverio. Šie naudingi kroviniai apima „Windows“ registro pakeitimus, dėl kurių reikia įdiegti plėtinius iš „Chrome“ internetinės parduotuvės ir „Microsoft Edge“ priedų. Tada šie plėtiniai naudojami „Google“ ir „Microsoft Bing“ paieškos užklausoms užgrobti, peradresuojant jas per užpuoliko valdomus serverius.

Kaip veikia kenkėjiška programa

Šio Trojos arklys įdiegtų kenkėjiškų plėtinių naudotojai negali lengvai pašalinti, net jei įjungtas kūrėjo režimas. Naujausios scenarijaus versijos tapo dar pavojingesnės, pašalinus naršyklės naujinius, o tai dar labiau įtvirtino kenkėjiškas programas užkrėstose sistemose.

Be to, iš komandų ir valdymo (C2) serverio paleidžiamas vietinis plėtinys, turintis daug galimybių. Jis perima visas žiniatinklio užklausas, siunčia jas į serverį, gauna komandas ir užšifruotus scenarijus ir į tinklalapius įveda kenkėjišką kodą. Kenkėjiška programa taip pat užgrobia paieškos užklausas iš populiarių variklių, pvz., Ask.com, Bing ir Google, nukreipdama jas per savo serverius prieš nukreipdama į kitus paieškos variklius.

Kaip pašalinti plėtinį Trojos arklys

Jei įtariate, kad jūsų sistema buvo pažeista dėl šios kenkėjiškos programos, labai svarbu nedelsiant imtis veiksmų, kad būtų sumažinta žala. Norėdami pašalinti kenkėjišką programą ir atkurti sistemą, atlikite šiuos veiksmus:

1. Ištrinkite suplanuotą užduotį: raskite ir ištrinkite suplanuotą užduotį, kuri kasdien iš naujo suaktyvina kenkėjišką programą.
2. Pašalinti registro raktus: pasiekite „Windows“ registrą ir pašalinkite visus raktus, susijusius su kenkėjiška programa.
3. Ištrinkite kenkėjiškus failus ir aplankus: iš savo sistemos pašalinkite šiuos failus ir katalogus:
   • C:\Windows\system32\Privacyblockerwindows.ps1
   • C:\Windows\system32\Windowsupdater1.ps1
   • C:\Windows\system32\WindowsUpdater1Script.ps1
   • C:\Windows\system32\Optimizerwindows.ps1
   • C:\Windows\system32\Printworkflowservice.ps1
   • C:\Windows\system32\NvWinSearchOptimizer.ps1 (2024 m. versija)
   • C:\Windows\system32\kondserp_optimizer.ps1 (2024 m. gegužės mėn. versija)
   • C:\Windows\InternalKernelGrid
   • C:\Windows\InternalKernelGrid3
   • C:\Windows\InternalKernelGrid4
   • C:\Windows\ShellServiceLog
   • C:\windows\privacyprotectorlog
   • C:\Windows\NvOptimizerLog

Atlikdami šiuos veiksmus galite pašalinti kenkėjišką programą ir išvengti tolesnės sistemos žalos. Tačiau taip pat rekomenduojama įdiegti ir reguliariai atnaujinti patikimą antivirusinę programą, kad apsisaugotumėte nuo būsimų grėsmių.

Ši nuolatinė kenkėjiškų programų kampanija yra priminimas apie besivystančias grėsmes skaitmeniniame pasaulyje. Išlikdami budrūs ir atsargūs, ypač atsisiųsdami programinę įrangą iš nepažįstamų šaltinių, vartotojai gali apsaugoti savo sistemas nuo šių pavojingų Trojos arklių. Visada patikrinkite svetainių ir atsisiuntimų autentiškumą ir atnaujinkite saugos programinę įrangą, kad apsisaugotumėte nuo naujausių grėsmių.