Extension Trojan Malware: een groeiende bedreiging voor Google Chrome- en Microsoft Edge-gebruikers

trojan horse

Er is een nieuwe golf van malware gedetecteerd die gebruikers van Google Chrome en Microsoft Edge target door valse browserextensies te installeren via een trojan die via nepwebsites wordt verspreid. Deze campagne, die sinds 2021 actief is, maakt gebruik van imitatiewebsites die zich voordoen als populaire softwaredownloadpagina's om nietsvermoedende gebruikers te misleiden tot het downloaden van schadelijke installatieprogramma's.

Het dreigingslandschap

De malware, die voor het eerst door ReasonLabs werd geïdentificeerd, varieert van relatief eenvoudige adware-extensies die zoekresultaten kapen tot geavanceerdere scripts die privégegevens kunnen stelen en ongeautoriseerde opdrachten op geïnfecteerde systemen kunnen uitvoeren. De trojan heeft al meer dan 300.000 gebruikers getroffen, wat de wijdverbreide impact van deze campagne benadrukt.

De kern van deze dreiging is het gebruik van malvertising, waarbij aanvallers vergelijkbare websites maken die bekende software promoten, zoals Roblox FPS Unlocker, YouTube, VLC media player, Steam en KeePass. Gebruikers die naar deze programma's zoeken, kunnen worden verleid tot het downloaden van een trojan die dient als kanaal voor het installeren van schadelijke browserextensies.

Eenmaal geïnstalleerd, registreren deze digitaal ondertekende kwaadaardige installatieprogramma's een geplande taak op het systeem van het slachtoffer, wat een PowerShell-script activeert om extra payloads te downloaden en uit te voeren vanaf een externe server. Deze payloads omvatten wijzigingen in het Windows-register, waardoor de installatie van extensies van de Chrome Web Store en Microsoft Edge Add-ons wordt afgedwongen. Deze extensies worden vervolgens gebruikt om zoekopdrachten op Google en Microsoft Bing te kapen en ze om te leiden via door aanvallers gecontroleerde servers.

Hoe de malware werkt

De kwaadaardige extensies die door deze trojan worden geïnstalleerd, kunnen niet eenvoudig door gebruikers worden verwijderd, zelfs niet als de ontwikkelaarsmodus is ingeschakeld. Recente versies van het script zijn nog gevaarlijker geworden door het verwijderen van browserupdates, waardoor de malware zich verder op geïnfecteerde systemen nestelt.

Daarnaast wordt een lokale extensie gelanceerd vanaf een command-and-control (C2) server, uitgerust met uitgebreide mogelijkheden. Het onderschept alle webverzoeken, stuurt ze naar de server, ontvangt opdrachten en gecodeerde scripts en injecteert schadelijke code in webpagina's. De malware kaapt ook zoekopdrachten van populaire zoekmachines zoals Ask.com, Bing en Google, en stuurt ze door via de servers voordat ze worden omgeleid naar andere zoekmachines.

Hoe verwijder je de Extension Trojan-malware

Als u vermoedt dat uw systeem is gecompromitteerd door deze malware, is het cruciaal om onmiddellijk actie te ondernemen om de schade te beperken. Volg deze stappen om de malware te verwijderen en uw systeem te herstellen:

  1. Verwijder de geplande taak: Zoek en verwijder de geplande taak die de malware dagelijks opnieuw activeert.
  2. Registersleutels verwijderen: Ga naar het Windows-register en verwijder alle sleutels die aan de malware zijn gekoppeld.
  3. Verwijder schadelijke bestanden en mappen: verwijder de volgende bestanden en mappen van uw systeem:
    • C:\Windows\system32\Privacyblockerwindows.ps1
    • C:\Windows\system32\Windowsupdater1.ps1
    • C:\Windows\system32\WindowsUpdater1Script.ps1
    • C:\Windows\system32\Optimizerwindows.ps1
    • C:\Windows\system32\Printworkflowservice.ps1
    • C:\Windows\system32\NvWinSearchOptimizer.ps1 (versie 2024)
    • C:\Windows\system32\kondserp_optimizer.ps1 (versie mei 2024)
    • C:\Windows\InternalKernelGrid
    • C:\Windows\InternalKernelGrid3
    • C:\Windows\InternalKernelGrid4
    • C:\Windows\ShellServiceLog
    • C:\windows\privacyprotectorlog
    • C:\Windows\NvOptimizerLog

Door deze stappen te volgen, kunt u de malware verwijderen en verdere schade aan uw systeem voorkomen. Het is echter ook aan te raden om een betrouwbaar antivirusprogramma te installeren en regelmatig bij te werken om uzelf te beschermen tegen toekomstige bedreigingen.

Deze voortdurende malwarecampagne dient als herinnering aan de evoluerende bedreigingen in de digitale wereld. Door waakzaam en voorzichtig te blijven, vooral bij het downloaden van software van onbekende bronnen, kunnen gebruikers hun systemen beschermen tegen deze gevaarlijke trojans. Controleer altijd de authenticiteit van websites en downloads en houd uw beveiligingssoftware up-to-date om uzelf te verdedigen tegen de nieuwste bedreigingen.

Tegen Zane
August 12, 2024
Trojan
Nederlands
August 12, 2024
Trojan

Populaire posts

Wat is het bestand OperaGXSetup.exe en is het schadelijk?

11 months geleden

Eporner.com en waarom de overmatige pop-ups riskant zijn

12 days geleden

Let op: iemand heeft u toegevoegd als herstel-e-mailfraude

10 months geleden

HackTool:Win32/Crack: een kwaadaardige bedreiging die uw...

7 months geleden

Een potentieel serieuze bedreiging: Trojan:Win32/Suschil!rfn

19 days geleden

Wat is de Packunwan Trojaanse paardendreiging en welke invloed...

11 months geleden
Nederlands
Bezig met laden...

Cyclonis Password Manager Details & Terms

GRATIS proefversie: eenmalige aanbieding van 30 dagen! Geen creditcard vereist voor gratis proefversie. Volledige functionaliteit voor de duur van de gratis proefperiode. (Volledige functionaliteit na gratis proefversie vereist aankoop van een abonnement.) Voor meer informatie over ons beleid en onze prijzen, zie EULA, Privacybeleid, Kortingsvoorwaarden en Aankooppagina. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Huis

Producten

Cyclonis Password Manager Cyclonis World Time

Ondersteuning

Help-bestanden Veelgestelde vragen Downloads Inquiries & Support

Bedrijf

Over ons Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Privacybeleid Cookie beleid Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows is een handelsmerk van Microsoft, geregistreerd in de VS en andere landen.
Mac, iPhone, iPad en App Store zijn handelsmerken van Apple Inc., geregistreerd in de VS en andere landen.
iOS is een gedeponeerd handelsmerk van Cisco Systems, Inc. en/of zijn dochterondernemingen in de Verenigde Staten en bepaalde andere landen.
Android en Google Play zijn handelsmerken van Google LLC.