Phần mềm độc hại mới tấn công 300.000 người dùng với tiện ích mở rộng Chrome và Edge giả mạo

Phần mềm độc hại mới tấn công 300.000 người dùng với tiện ích mở rộng Chrome và Edge giả mạo

Một chiến dịch phần mềm độc hại đang diễn ra và lan rộng đã được phát hiện cài đặt tiện ích mở rộng Google Chrome và Microsoft Edge độc ​​hại thông qua một trojan được phân phối thông qua các trang web giả mạo dưới dạng phần mềm phổ biến.

"Phần mềm độc hại trojan chứa nhiều mục đích khác nhau, từ các tiện ích mở rộng phần mềm quảng cáo đơn giản chiếm quyền tìm kiếm đến các tập lệnh độc hại tinh vi hơn cung cấp các tiện ích mở rộng cục bộ để đánh cắp dữ liệu riêng tư và thực thi nhiều lệnh khác nhau", nhóm nghiên cứu bảo mật cho biết trong một phân tích.

"Phần mềm độc hại trojan này, đã tồn tại từ năm 2021, bắt nguồn từ các bản sao của các trang web tải xuống có tiện ích bổ sung cho trò chơi và video trực tuyến".

Phần mềm độc hại và các tiện ích mở rộng có phạm vi tiếp cận kết hợp ít nhất 300.000 người dùng Google Chrome và Microsoft Edge, cho thấy hoạt động này có tác động rộng rãi.

Trọng tâm của chiến dịch là sử dụng quảng cáo độc hại để thúc đẩy các trang web giống nhau quảng cáo phần mềm đã biết như Roblox FPS Unlocker, YouTube, trình phát phương tiện VLC, Steam hoặc KeePass để lừa người dùng tìm kiếm các chương trình này tải xuống trojan, đóng vai trò là phương tiện để cài đặt tiện ích mở rộng trình duyệt.

Các trình cài đặt độc hại được ký kỹ thuật số sẽ đăng ký một tác vụ theo lịch trình, sau đó được định cấu hình để thực thi một tập lệnh PowerShell chịu trách nhiệm tải xuống và thực thi tải trọng giai đoạn tiếp theo được lấy từ máy chủ từ xa.

Điều này bao gồm việc sửa đổi Windows Registry để buộc cài đặt các tiện ích mở rộng từ Chrome Web Store và Microsoft Edge Add-on có khả năng chiếm đoạt các truy vấn tìm kiếm trên Google và Microsoft Bing và chuyển hướng chúng qua các máy chủ do kẻ tấn công kiểm soát.

"Người dùng không thể vô hiệu hóa tiện ích mở rộng, ngay cả khi Chế độ nhà phát triển 'BẬT'", ReasonLabs cho biết. "Các phiên bản mới hơn của tập lệnh sẽ xóa các bản cập nhật trình duyệt".

Nó cũng khởi chạy một tiện ích mở rộng cục bộ được tải xuống trực tiếp từ máy chủ chỉ huy và kiểm soát (C2) và đi kèm với các khả năng mở rộng để chặn tất cả các yêu cầu web và gửi chúng đến máy chủ, nhận lệnh và tập lệnh được mã hóa, cũng như chèn và tải tập lệnh vào tất cả các trang.

Trên hết, nó chiếm đoạt các truy vấn tìm kiếm từ Ask.com, Bing và Google, sau đó chuyển chúng qua các máy chủ của mình rồi đến các công cụ tìm kiếm khác.

Người dùng bị ảnh hưởng bởi cuộc tấn công phần mềm độc hại được khuyến cáo xóa tác vụ theo lịch trình kích hoạt lại phần mềm độc hại mỗi ngày, xóa khóa Registry và xóa các tệp và thư mục bên dưới khỏi hệ thống –

• C:\Windows\system32\Privacyblockerwindows.ps1
• C:\Windows\system32\Windowsupdater1.ps1
• C:\Windows\system32\WindowsUpdater1Script.ps1
• C:\Windows\system32\Optimizerwindows.ps1
• C:\Windows\system32\Printworkflowservice.ps1
• C:\Windows\system32\NvWinSearchOptimizer.ps1 - 2024 version
• C:\Windows\system32\kondserp_optimizer.ps1 - May 2024 version
• C:\Windows\InternalKernelGrid
• C:\Windows\InternalKernelGrid3
• C:\Windows\InternalKernelGrid4
• C:\Windows\ShellServiceLog
• C:\windows\privacyprotectorlog
• C:\Windows\NvOptimizerLog

Đây không phải là lần đầu tiên các chiến dịch tương tự được phát hiện ngoài đời thực. Vào tháng 12 năm 2023, công ty an ninh mạng đã nêu chi tiết một trình cài đặt trojan khác được phân phối qua torrent, cài đặt tiện ích mở rộng web độc hại ngụy trang thành ứng dụng VPN nhưng thực chất được thiết kế để chạy "hoạt động hack hoàn tiền".

Hương – Theo TheHackerNews