ReasonLabsin tietoturvatutkijat ovat havainneet uuden laajalle levinneen, jatkuvan polymorfisen haittaohjelmakampanjan, joka asentaa väkisin haitallisia selainlaajennuksia päätepisteisiin.
Asennusohjelma ja laajennukset, jotka leviävät maailmanlaajuisesti, ovat vaikuttaneet vähintään 300 000 käyttäjään Google Chromessa ja Microsoft Edgessä, ja ne ovat muokanneet selaimen suoritettavia tiedostoja kotisivujen kaappaamiseksi ja selaushistorian varastamiseksi.
Troijalainen haittaohjelma, jota virustentorjuntatyökalut eivät yleensä havaitse, sisältää erilaisia toimituksia yksinkertaisista hakuja hallitsevista mainoslaajennuksista monimutkaisempiin haitallisiin komentosarjoihin, jotka toimittavat paikallisia laajennuksia yksityisten tietojen varastamiseksi ja erilaisia komentoja tartunnan saaneilla laitteilla.
Vuodesta 2021 lähtien tämä troijalainen haittaohjelma on peräisin jäljitelmäsivustoilta, jotka tarjoavat latauksia ja lisäosia online-peleihin ja -videoihin.
Miten haittaohjelma toimii
ReasonLabs sanoi, että tartunta alkaa siitä, että uhrit lataavat ohjelmistoasennusohjelmia väärennettyjen verkkosivustojen kautta, joita markkinoidaan Googlen hakutuloksissa haitallisesti. Mainostajat käyttävät jäljitelmiä lataussivustoista, kuten Roblox FPS Unlocker, YouTube, VLC Media Player tai KeePass. Näiltä väärennetyiltä verkkosivustoilta ladatut suoritettavat tiedostot eivät edes yritä asentaa tarkoitettua ohjelmistoa, vaan ottavat käyttöön troijalaisia.
“Kun käyttäjä lataa ohjelman samankaltaiselta verkkosivustolta, ohjelma rekisteröi ajoitetun tehtävän käyttämällä pseudonyymiä, joka noudattaa PowerShell-komentosarjatiedoston nimeä, kuten Updater_PrivacyBlocker_PR1, MicrosoftWindowsOptimizerUpdateTask_PR1 ja NvOptimizerTaskUpdater_V2”, ReasonLabin tutkijat kertovat.
“Se on määritetty suorittamaan PowerShell-komentosarja, jolla on samannäköinen nimi “-File C:/Windows/System32/NvWinSearchOptimizer.ps1″. PowerShell-komentosarja lataa hyötykuorman etäpalvelimelta ja suorittaa sen koneella.”
PowerShell-komentosarja kirjoitetaan system32-kansioon, joka kutsuu toisen vaiheen komentosarjan C2:sta suoraan muistiin. Kun PowerShell-komentosarja lopulta suoritetaan, se lisää rekisteriarvoja pakottaakseen haitallisten laajennusten asennuksen. Nämä laajennukset varastavat hakukyselyitä ja ohjaavat ne vastustajan haun kautta, mikä tekee niistä havaitsemattomia, vaikka kehittäjätila olisi päällä.
Skripti asentaa sitten haitallisia laajennuksia muokkaamalla Chromen ja Edgen rekisteriavaimia, mikä tekee niiden käytöstä poistamisesta entistä haastavampaa tavallisten selainasetusten avulla. Laajennukset suorittavat useita haitallisia toimintoja, mukaan lukien kaappaavat hakuja tunnetuista hakukoneista ja ohjaavat ne hyökkääjien hallitsemien verkkotunnusten kautta ennen kuin lopulta näyttävät tuloksia laillisilta hakukoneilta, kuten Yahoo tai Bing.
ReasonLabs raportoi, että troijalaisen uusimmat iteraatiot muokkaavat Google Chromen ja Microsoft Edgen selaimen kotisivun kaappaamiseen käyttämiä ydinselaimen DLL-tiedostoja uhkatoimijan hallintaan, kuten esim. https://microsearch[.]minulle/.
“Tämän komentosarjan tarkoituksena on paikantaa selainten DLL-tiedostot (msedge.dll, jos Edge on oletusarvo) ja muuttaa tiettyjä tavuja tietyissä paikoissa siinä”, selittää ReasonLabs.
“Tämän tekeminen antaa skriptin kaapata oletushaun Bingistä tai Googlesta vastustajan hakuportaaliin. Se tarkistaa, mikä selaimen versio on asennettuna, ja etsii tavuja sen mukaan.”
ReasonLabs-tutkimustiimi varoitti Googlelle ja Microsoftille välittömästi havaittuaan rikkomuksen. Vaikka Microsoft on poistanut kaikki tunnistetut haitalliset laajennukset Edge Add-ons Storestaan, jotkin asiaan liittyvät laajennukset ovat edelleen saatavilla Google Chrome Web Storessa.
Sillä välin käyttäjiä kehotetaan lataamaan laajennuksia vain luotettavista lähteistä, olemaan varovaisia lataamaan ohjelmistoja tuntemattomilta verkkosivustoilta ja pitämään virustorjuntaohjelmistonsa ajan tasalla.
