Rozszerzenie trojana złośliwego oprogramowania: rosnące zagrożenie dla użytkowników Google Chrome i Microsoft Edge

Wykryto nową falę złośliwego oprogramowania atakującego użytkowników Google Chrome i Microsoft Edge poprzez instalowanie nieuczciwych rozszerzeń przeglądarki za pośrednictwem trojana rozpowszechnianego za pośrednictwem fałszywych witryn. Ta kampania, która jest aktywna od 2021 r., wykorzystuje imitacje witryn podszywających się pod popularne strony pobierania oprogramowania, aby oszukać niczego niepodejrzewających użytkowników i nakłonić ich do pobrania złośliwych instalatorów.

Krajobraz zagrożeń

Złośliwe oprogramowanie, po raz pierwszy zidentyfikowane przez ReasonLabs, obejmuje stosunkowo proste rozszerzenia adware, które przejmują wyniki wyszukiwania, aż po bardziej wyrafinowane skrypty zdolne do kradzieży prywatnych danych i wykonywania nieautoryzowanych poleceń w zainfekowanych systemach. Trojan dotknął już ponad 300 000 użytkowników, co podkreśla szeroki wpływ tej kampanii.

Podstawą tego zagrożenia jest wykorzystanie malvertisingu, w którym atakujący tworzą podobne witryny promujące znane oprogramowanie, takie jak Roblox FPS Unlocker, YouTube, VLC media player, Steam i KeePass. Użytkownicy poszukujący tych programów mogą zostać zwabieni do pobrania trojana, który służy jako kanał do instalowania złośliwych rozszerzeń przeglądarki.

Po zainstalowaniu te cyfrowo podpisane złośliwe instalatory rejestrują zaplanowane zadanie w systemie ofiary, które uruchamia skrypt PowerShell w celu pobrania i wykonania dodatkowych ładunków ze zdalnego serwera. Ładunki te obejmują modyfikacje rejestru systemu Windows, wymuszając instalację rozszerzeń ze sklepu Chrome Web Store i dodatków Microsoft Edge. Te rozszerzenia są następnie wykorzystywane do przechwytywania zapytań wyszukiwania w Google i Microsoft Bing, przekierowując je przez serwery kontrolowane przez atakującego.

Jak działa złośliwe oprogramowanie

Złośliwe rozszerzenia zainstalowane przez tego trojana nie są łatwo usuwalne przez użytkowników, nawet przy włączonym trybie programisty. Ostatnie wersje skryptu stały się jeszcze bardziej niebezpieczne, usuwając aktualizacje przeglądarki, co jeszcze bardziej utrwaliło złośliwe oprogramowanie w zainfekowanych systemach.

Dodatkowo, lokalne rozszerzenie jest uruchamiane z serwera poleceń i kontroli (C2), wyposażonego w rozbudowane możliwości. Przechwytuje ono wszystkie żądania sieciowe, wysyła je do serwera, odbiera polecenia i zaszyfrowane skrypty oraz wstrzykuje złośliwy kod do stron internetowych. Złośliwe oprogramowanie przejmuje również zapytania wyszukiwania z popularnych wyszukiwarek, takich jak Ask.com, Bing i Google, przepuszczając je przez swoje serwery, a następnie przekierowując do innych wyszukiwarek.

Jak usunąć trojana rozszerzenia złośliwego oprogramowania

Jeśli podejrzewasz, że Twój system został naruszony przez to złośliwe oprogramowanie, konieczne jest natychmiastowe podjęcie działań w celu złagodzenia szkód. Wykonaj następujące kroki, aby usunąć złośliwe oprogramowanie i przywrócić system:

1. Usuń zaplanowane zadanie: Znajdź i usuń zaplanowane zadanie, które codziennie ponownie aktywuje złośliwe oprogramowanie.
2. Usuń klucze rejestru: Uzyskaj dostęp do rejestru systemu Windows i usuń wszelkie klucze powiązane ze złośliwym oprogramowaniem.
3. Usuń złośliwe pliki i foldery: Usuń następujące pliki i katalogi ze swojego systemu:
   • C:\Windows\system32\Privacyblockerwindows.ps1
   • C:\Windows\system32\Windowsupdater1.ps1
   • C:\Windows\system32\WindowsUpdater1Script.ps1
   • C:\Windows\system32\Optimizerwindows.ps1
   • C:\Windows\system32\Printworkflowservice.ps1
   • C:\Windows\system32\NvWinSearchOptimizer.ps1 (wersja 2024)
   • C:\Windows\system32\kondserp_optimizer.ps1 (wersja z maja 2024 r.)
   • C:\Windows\InternalKernelGrid
   • C:\Windows\InternalKernelGrid3
   • C:\Windows\InternalKernelGrid4
   • C:\Windows\ShellServiceLog
   • C:\windows\privacyprotectorlog
   • C:\Windows\NvOptimizerLog

Postępując zgodnie z tymi krokami, możesz usunąć złośliwe oprogramowanie i zapobiec dalszym uszkodzeniom systemu. Zaleca się jednak również zainstalowanie i regularną aktualizację renomowanego programu antywirusowego w celu ochrony przed przyszłymi zagrożeniami.

Ta trwająca kampania malware służy jako przypomnienie o ewoluujących zagrożeniach w świecie cyfrowym. Pozostając czujnym i ostrożnym, zwłaszcza podczas pobierania oprogramowania z nieznanych źródeł, użytkownicy mogą chronić swoje systemy przed tymi niebezpiecznymi trojanami. Zawsze weryfikuj autentyczność witryn i pobranych plików oraz aktualizuj oprogramowanie zabezpieczające, aby chronić się przed najnowszymi zagrożeniami.