A ReasonLabs biztonsági kutatói egy új, széles körben elterjedt, folyamatban lévő, polimorf kártevők elleni kampányt fedeztek fel, amely erőszakosan rosszindulatú böngészőbővítményeket telepít a végpontokra.
A telepítő és a bővítmények, amelyek világszerte terjednek, legalább 300 000 felhasználót érintettek a Google Chrome-ban és a Microsoft Edge-ben, módosítva a böngésző végrehajtható fájljait a kezdőlapok eltérítése és a böngészési előzmények ellopása érdekében.
A trójai kártevő, amelyet általában nem észlelnek a víruskereső eszközök, különféle leszállításokat tartalmaz, az egyszerű reklámprogram-bővítményektől, amelyek átveszik a keresést, a bonyolultabb rosszindulatú szkriptekig, amelyek helyi bővítményeket szállítanak személyes adatok ellopására és különféle parancsok végrehajtására a fertőzött eszközökön.
2021 óta ez a trójai kártevő olyan imitációs webhelyekről származik, amelyek letöltéseket és kiegészítőket biztosítanak online játékokhoz és videókhoz.
Hogyan működik a rosszindulatú program
A ReasonLabs szerint a fertőzés abból indul ki, hogy az áldozatok szoftvertelepítőket töltenek le a Google Keresés találatai között rosszindulatú hirdetések által forgalmazott hamis webhelyeken keresztül. A hirdetők olyan letöltési oldalak utánzatait használják, mint a Roblox FPS Unlocker, a YouTube, a VLC Media Player vagy a KeePass. Az ezekről a hamis webhelyekről letöltött végrehajtható fájlok meg sem kísérlik a kívánt szoftver telepítését, hanem trójaiakat telepítenek.
“Miután a felhasználó letölti a programot a hasonló webhelyről, a program egy ütemezett feladatot regisztrál egy PowerShell-szkriptfájl nevének mintáját követő álnévvel, mint például az Updater_PrivacyBlocker_PR1, a MicrosoftWindowsOptimizerUpdateTask_PR1 és az NvOptimizerTaskUpdater_VLab kutatói.
Úgy van beállítva, hogy egy PowerShell-szkriptet futtasson hasonló kinézetű névvel: „-File C:/Windows/System32/NvWinSearchOptimizer.ps1”. A PowerShell-szkript letölt egy hasznos adatot egy távoli szerverről, és végrehajtja azt a gépen.
A PowerShell-parancsfájlt a rendszer a system32 mappába írja, amely a C2-ből közvetlenül a memóriába hív meg egy második szintű parancsfájlt. Amikor a PowerShell-szkript végül végrehajtódik, rendszerleíró adatbázis-értékeket ad hozzá a rosszindulatú bővítmények telepítésének kényszeréhez. Ezek a bővítmények ellopják a keresési lekérdezéseket, és átirányítják őket az ellenfél keresésén keresztül, így még „BE” fejlesztői mód esetén sem észlelhetők.
A szkript ezután a Chrome és az Edge rendszerleíró kulcsok módosításával rosszindulatú bővítményeket telepít, így letiltása még nagyobb kihívást jelent a szokásos böngészőbeállításokon keresztül. A bővítmények számos rosszindulatú tevékenységet hajtanak végre, beleértve az ismert keresőmotorokból származó keresések eltérítését és a támadók által ellenőrzött tartományokon keresztül történő átirányítását, mielőtt végre megjelennének olyan legitim keresőmotorok, mint a Yahoo vagy a Bing.
A ReasonLabs jelentése szerint a trójai legújabb iterációi módosítják a Google Chrome és a Microsoft Edge által a böngésző kezdőlapjának rögzítésére használt alapvető böngésző DLL-fájlokat a fenyegetettség szereplője irányítása alá tartozókba, mint pl. https://microsearch[.]nekem/.
„Ennek a szkriptnek az a célja, hogy megkeresse a böngészők DLL-eit (az msedge.dll, ha az Edge az alapértelmezett), és bizonyos bájtokat módosítson azon belül bizonyos helyeken” – magyarázza a ReasonLabs.
„Ha így tesz, a szkript eltérítheti az alapértelmezett keresést a Bingtől vagy a Google-tól az ellenfél keresőportáljára. Ellenőrzi, hogy a böngésző melyik verziója van telepítve, és ennek megfelelően keresi a bájtokat.”
A ReasonLabs kutatócsoport azonnal értesítette a Google-t és a Microsoftot, amikor felfedezték a jogsértést. Bár a Microsoft eltávolította az összes azonosított rosszindulatú bővítményt az Edge Add-ons Store-ból, néhány érintett bővítmény továbbra is elérhető a Google Chrome Internetes áruházban.
Eközben a felhasználóknak azt tanácsoljuk, hogy csak megbízható forrásokból töltsenek le bővítményeket, legyenek óvatosak az ismeretlen webhelyekről történő szoftverek letöltésével, és tartsák naprakészen víruskereső szoftverüket.
