300 тысяч пользователей Chrome и Edge заразили вредоносными расширениями

Вредоносные дополнения к распространенным браузерам угрожают личным и финансовым данным, могут использоваться для слежки, и их очень трудно удалить. Во всяком случае, труднее, чем не попасться на уловки злоумышленников.

Заразный софт
Около 300 тыс. пользователей стали жертвами широкомасштабной кампании, в ходе которой им устанавливались вредоносные расширения к браузерам Chrome и Edge.

Как пишут исследователи компании ReasonLabs, распространение этих расширений осуществляет троянец, а сами расширения могут оказываться как сравнительно безобидным, но назойливым adware, перехватывающим поисковые запросы, так и скриптами, угрожающими персональным и финансовым данным.

Операторы кампании наплодили множество поддельных сайтов, предлагающих скачать популярные программы, в том числе Roblox FPS Unlocker, VLC media player, KeePass, клиенты YouTube и Steam. На деле жертвы загружают вредонос. Что характерно, его инсталляторы снабжены цифровыми подписями.

Вредоносное расширение может перехватывать все сетевые запросы и перенаправлять их на сервер злоумышленников, а также получать дополнительные команды, скачивать зашифрованные скрипты и встраивать их в любые веб-страницы
После установки троянец формирует отложенное системное задание, которое запускает скрипт PowerShell. Тот, в свою очередь, производит скачивание с удаленного сервера и запуск вредоносной нагрузки следующего этапа. Судя по всему, это целая плеяда скриптов, которые осуществляют разные операции, в том числе – изменение системного реестра Windows, установку расширений из Chrome Web Store и набора Microsoft Edge Add-ons – перехватывающих, в частности, поисковые запросы в Google и Microsoft Bing и перенаправляющих их через серверы, контролируемые злоумышленниками.

Злоумышленники удостоверились, чтобы пользователи не имели возможности удалить вредоносные расширения даже в режиме Developer Mode. Самые свежие версии скриптов блокируют и обновления браузеров.

Троянец также может устанавливать локальное расширение, которое скачивается напрямую с контрольного сервера. Это расширение может перехватывать все сетевые запросы и перенаправлять их на сервер злоумышленников, а также получать дополнительные команды, скачивать зашифрованные скрипты и встраивать их в любые веб-страницы.

«Ключевой способ профилактики подобных атак – не пытаться устанавливать общераспространенные программы из нетипичных источников, – говорит Михаил Зайцев, эксперт по информационной безопасности компании SEQ. – Существуют стандартные, простые и эффективные способы проверки веб-сайтов, и нужно лишь совсем немного времени, чтобы удостовериться, что искомое ПО скачивается с официального ресурса, а не подделки».

Устранение проблемы
Пользователям, столкнувшимся с проблемой, рекомендуется найти и устранить задачу в системном Планировщике задач, которая перезапускает вредонос раз в сутки.

Задача выглядит так:

C:\Windows\system32\cmd.exe /d /s /c “SCHTASKS /Create /TN

“NvOptimizerTaskUpdater_V2” /SC HOURLY /TR “powershell -File

C:/Windows/System32/NvWinSearchOptimizer.ps1” /RL HIGHEST /MO 4 /RU System /ST 07:27”

Необходимо также удалить связанные с вредоносом системные ключи.

Ключи располагаются в разделах системного реестра

Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist; Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Google\Chrome\ExtensionInstallForcelist и Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge\ExtensionInstallForcelist.

Во всех случаях в правой части окна будет список расширений с числами в панели названий (Name) и значением ExtensioID в панели данных (Data). Их необходимо удалить все до одного. Наконец, необходимо ликвидировать следующие каталоги и файлы:

C:\Windows\system32\Privacyblockerwindows.ps1

C:\Windows\system32\Windowsupdater1.ps1

C:\Windows\system32\WindowsUpdater1Script.ps1

C:\Windows\system32\Optimizerwindows.ps1

C:\Windows\system32\Printworkflowservice.ps1

C:\Windows\system32\NvWinSearchOptimizer.ps1 – 2024 version

C:\Windows\system32\kondserp_optimizer.ps1 – May 2024 version

C:\Windows\InternalKernelGrid

C:\Windows\InternalKernelGrid3

C:\Windows\InternalKernelGrid4

C:\Windows\ShellServiceLog

C:\windows\privacyprotectorlog

C:\Windows\NvOptimizerLog

Эксперты ReasonLabs отмечают, что этот тип угроз является сравнительно новым, и что разработчикам защитных инструментов следует обратить на него самое пристальное внимание.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Related posts

Одна из крупнейших кибератак года: за неделю заблокировано 4 тысячи атак на аккаунты WhatsApp

Samsung объявляет о масштабном обновлении One UI для своих умных телевизоров 2023 года

У Meta Ray Ban появится сильный конкурент: Apple разрабатывает смарт-очки со встроенными камерами и поддержкой Visual Intelligence