Extension Trojan Malware: A Growing Threat to Google Chrome and Microsoft Edge-brukere

En ny bølge av skadelig programvare har blitt oppdaget rettet mot brukere av Google Chrome og Microsoft Edge ved å installere falske nettleserutvidelser gjennom en trojan distribuert via falske nettsteder. Denne kampanjen, som har vært aktiv siden 2021, utnytter imiterte nettsteder som utgir seg for å være populære programvarenedlastingssider for å lure intetanende brukere til å laste ned ondsinnede installasjonsprogrammer.

Trussellandskapet

Skadevaren, først identifisert av ReasonLabs, spenner fra relativt enkle adware-utvidelser som kaprer søkeresultater til mer sofistikerte skript som er i stand til å stjele private data og utføre uautoriserte kommandoer på infiserte systemer. Trojaneren har allerede berørt over 300 000 brukere, noe som understreker den utbredte effekten av denne kampanjen.

Kjernen i denne trusselen er bruken av malvertising, der angripere lager lignende nettsteder som promoterer kjent programvare som Roblox FPS Unlocker, YouTube, VLC media player, Steam og KeePass. Brukere som søker etter disse programmene kan bli lokket til å laste ned en trojaner som fungerer som en kanal for å installere ondsinnede nettleserutvidelser.

Når de er installert, registrerer disse digitalt signerte ondsinnede installatørene en planlagt oppgave på offerets system, som utløser et PowerShell-skript for å laste ned og kjøre ytterligere nyttelast fra en ekstern server. Disse nyttelastene inkluderer modifikasjoner av Windows-registeret, som tvinger installasjon av utvidelser fra Chrome Nettmarked og Microsoft Edge-tillegg. Disse utvidelsene brukes deretter til å kapre søk på Google og Microsoft Bing, og omdirigere dem gjennom angriperkontrollerte servere.

Hvordan skadelig programvare fungerer

De ondsinnede utvidelsene installert av denne trojaneren er ikke lett å fjerne av brukere, selv med utviklermodus aktivert. Nyere versjoner av skriptet har blitt enda farligere ved å fjerne nettleseroppdateringer, noe som ytterligere forskanser skadelig programvare på infiserte systemer.

I tillegg lanseres en lokal utvidelse fra en kommando-og-kontroll-server (C2), utstyrt med omfattende muligheter. Den fanger opp alle nettforespørsler, sender dem til serveren, mottar kommandoer og krypterte skript, og injiserer ondsinnet kode på nettsider. Skadevaren kaprer også søk fra populære motorer som Ask.com, Bing og Google, og sender dem gjennom serverne før de omdirigeres til andre søkemotorer.

Slik fjerner du Extension Trojan Malware

Hvis du mistenker at systemet ditt har blitt kompromittert av denne skadelige programvaren, er det avgjørende å iverksette tiltak umiddelbart for å redusere skaden. Følg disse trinnene for å fjerne skadelig programvare og gjenopprette systemet:

1. Slett den planlagte oppgaven: Finn og slett den planlagte oppgaven som reaktiverer skadelig programvare daglig.
2. Fjern registernøkler: Få tilgang til Windows-registeret og fjern eventuelle nøkler knyttet til skadelig programvare.
3. Slett skadelige filer og mapper: Fjern følgende filer og kataloger fra systemet ditt:
   • C:\Windows\system32\Privacyblockerwindows.ps1
   • C:\Windows\system32\Windowsupdater1.ps1
   • C:\Windows\system32\WindowsUpdater1Script.ps1
   • C:\Windows\system32\Optimizerwindows.ps1
   • C:\Windows\system32\Printworkflowservice.ps1
   • C:\Windows\system32\NvWinSearchOptimizer.ps1 (2024-versjon)
   • C:\Windows\system32\kondserp_optimizer.ps1 (mai 2024-versjon)
   • C:\Windows\InternalKernelGrid
   • C:\Windows\InternalKernelGrid3
   • C:\Windows\InternalKernelGrid4
   • C:\Windows\ShellServiceLog
   • C:\windows\privacyprotectorlog
   • C:\Windows\NvOptimizerLog

Ved å følge disse trinnene kan du fjerne skadelig programvare og forhindre ytterligere skade på systemet ditt. Det anbefales imidlertid også å installere og regelmessig oppdatere et anerkjent antivirusprogram for å beskytte mot fremtidige trusler.

Denne pågående skadevarekampanjen tjener som en påminnelse om de utviklende truslene i den digitale verden. Ved å være årvåken og forsiktig, spesielt når du laster ned programvare fra ukjente kilder, kan brukere beskytte systemene sine mot disse farlige trojanerne. Kontroller alltid ektheten til nettsteder og nedlastinger, og hold sikkerhetsprogramvaren oppdatert for å forsvare deg mot de nyeste truslene.