Вредоносное троянское ПО расширения: растущая угроза для пользователей Google Chrome и Microsoft Edge

Была обнаружена новая волна вредоносного ПО, нацеленного на пользователей Google Chrome и Microsoft Edge путем установки мошеннических расширений браузера с помощью трояна, распространяемого через поддельные веб-сайты. Эта кампания, которая действует с 2021 года, использует поддельные веб-сайты, выдающие себя за популярные страницы загрузки программного обеспечения, чтобы обманом заставить ничего не подозревающих пользователей загрузить вредоносные установщики.

Ландшафт угроз

Вредоносное ПО, впервые обнаруженное ReasonLabs, варьируется от относительно простых расширений рекламного ПО, которые захватывают результаты поиска, до более сложных скриптов, способных красть личные данные и выполнять несанкционированные команды на зараженных системах. Троян уже затронул более 300 000 пользователей, что подчеркивает широкое влияние этой кампании.

В основе этой угрозы лежит использование вредоносной рекламы, когда злоумышленники создают похожие веб-сайты, продвигающие известное программное обеспечение, такое как Roblox FPS Unlocker, YouTube, VLC media player, Steam и KeePass. Пользователи, ищущие эти программы, могут быть заманены в ловушку и загрузить троян, который служит каналом для установки вредоносных расширений браузера.

После установки эти вредоносные установщики с цифровой подписью регистрируют запланированную задачу в системе жертвы, которая запускает скрипт PowerShell для загрузки и выполнения дополнительных полезных нагрузок с удаленного сервера. Эти полезные нагрузки включают изменения в реестре Windows, заставляя устанавливать расширения из Chrome Web Store и Microsoft Edge Add-ons. Затем эти расширения используются для перехвата поисковых запросов в Google и Microsoft Bing, перенаправляя их через контролируемые злоумышленниками серверы.

Как работает вредоносное ПО

Вредоносные расширения, установленные этим трояном, не могут быть легко удалены пользователями, даже при включенном режиме разработчика. Последние версии скрипта стали еще более опасными, удаляя обновления браузера, что еще больше укрепило вредоносное ПО в зараженных системах.

Кроме того, локальное расширение запускается с сервера управления и контроля (C2), оснащенного обширными возможностями. Оно перехватывает все веб-запросы, отправляет их на сервер, получает команды и зашифрованные скрипты и внедряет вредоносный код в веб-страницы. Вредоносная программа также перехватывает поисковые запросы из популярных поисковых систем, таких как Ask.com, Bing и Google, направляя их через свои серверы, прежде чем перенаправлять их в другие поисковые системы.

Как удалить вредоносное расширение Trojan

Если вы подозреваете, что ваша система была скомпрометирована этим вредоносным ПО, крайне важно немедленно принять меры для минимизации ущерба. Выполните следующие действия, чтобы удалить вредоносное ПО и восстановить вашу систему:

1. Удалить запланированную задачу: найти и удалить запланированную задачу, которая ежедневно повторно активирует вредоносное ПО.
2. Удалить ключи реестра: Откройте реестр Windows и удалите все ключи, связанные с вредоносным ПО.
3. Удалите вредоносные файлы и папки: Удалите следующие файлы и каталоги из вашей системы:
   • C:\Windows\system32\Privacyblockerwindows.ps1
   • C:\Windows\system32\Windowsupdater1.ps1
   • C:\Windows\system32\WindowsUpdater1Script.ps1
   • C:\Windows\system32\Optimizerwindows.ps1
   • C:\Windows\system32\Printworkflowservice.ps1
   • C:\Windows\system32\NvWinSearchOptimizer.ps1 (версия 2024 года)
   • C:\Windows\system32\kondserp_optimizer.ps1 (версия от мая 2024 г.)
   • C:\Windows\InternalKernelGrid
   • C:\Windows\InternalKernelGrid3
   • C:\Windows\InternalKernelGrid4
   • C:\Windows\ShellServiceLog
   • C:\windows\privacyprotectorlog
   • C:\Windows\NvOptimizerLog

Выполнив эти шаги, вы можете удалить вредоносное ПО и предотвратить дальнейший ущерб вашей системе. Однако также рекомендуется установить и регулярно обновлять надежную антивирусную программу для защиты от будущих угроз.

Эта продолжающаяся вредоносная кампания служит напоминанием о развивающихся угрозах в цифровом мире. Оставаясь бдительными и осторожными, особенно при загрузке программного обеспечения из незнакомых источников, пользователи могут защитить свои системы от этих опасных троянов. Всегда проверяйте подлинность веб-сайтов и загрузок и обновляйте свое программное обеспечение безопасности, чтобы защититься от последних угроз.