Обнаружен вредоносный код, заражающий веб-браузеры 300 000 ПК, который незаметно похищает данные пользователей
Вредоносный код при успешном заражении целевой системы может незаметно изменять исполняемые файлы браузера, чтобы захватить домашнюю страницу и украсть историю просмотров.
Установщики и расширения, как правило, не сканируются антивирусными средствами, поэтому они могут скрытно красть данные и выполнять команды на зараженных устройствах, не опасаясь обнаружения.
Эта кампания была впервые отмечена исследователями безопасности в ReasonLabs. Экспертная группа предупреждает, что субъекты угроз, стоящие за этой кампанией, используют различные темы вредоносной рекламы для достижения первоначального заражения.
Заражение через веб-браузер
По данным ReasonLabs, заражение начинается с того, что жертвы загружают установщики программного обеспечения с поддельных веб-сайтов, часто рекламируемых в результатах поиска Google.
Эта вредоносная кампания использует такие приманки, как Roblox FPS Unlocker, TikTok Video Downloader, YouTube Downloader, VLC Video Player, Dolphin Emulator и менеджер паролей KeePass.
Загруженные установщики имели цифровую подпись «Tommy Tech LTD» и успешно избегали обнаружения всеми антивирусными инструментами VirusTotal на момент анализа ReasonLabs.
Однако они не содержат ничего похожего на обычные программные инструменты, а вместо этого запускают скрипт PowerShell C:WindowsSystem32PrintWorkflowService.ps1 для загрузки другого скрытого вредоносного ПО с удаленного сервера и запуска его на компьютере жертвы. Скрипт также изменяет реестр Windows для принудительной установки расширений из Chrome Web Store и Microsoft Edge Add-ons.
Также автоматически создается запланированная задача для загрузки скрипта PowerShell с различными интервалами, что позволяет злоумышленнику внедрять дополнительное вредоносное ПО или устанавливать другие полезные нагрузки.
Результаты анализа показали, что вредоносное ПО устанавливало большое количество различных расширений Google Chrome и Microsoft Edge, нацеленных на перехват поисковых запросов жертв, изменение домашних страниц и перенаправление поисковых запросов. Поиск через серверы злоумышленников, чтобы украсть историю просмотров.
ReasonLabs обнаружила следующие расширения Google Chrome, связанные с этой кампанией:
- Пользовательская панель поиска – более 40 тыс. загрузок
- yglSearch – более 40 тыс. загрузок
- Панель поиска Qcom – более 40 загрузок
- Qtr Search – более 6 тыс. загрузок
- Расширение Micro Search Chrome – более 180 тыс. загрузок (удалено из магазина Chrome)
- Активная панель поиска – более 20 тыс. загрузок (удалено из магазина Chrome)
- Ваша строка поиска – более 40 тыс. загрузок (удалено из магазина Chrome)
- Safe Search Eng – более 35 тыс. загрузок (удалено из магазина Chrome)
- Lax Search – более 600 загрузок (удалено из магазина Chrome)
Для края
- Simple New Tab – более 100 000 тыс. загрузок (удалено из магазина Edge)
- Более чистая новая вкладка – более 2 тыс. загрузок (удалено из магазина Edge)
- NewTab Wonders – более 7 тыс. загрузок (удалено из магазина Edge)
- SearchNukes – более 1 тыс. загрузок (удалено из магазина Edge)
- EXYZ Search – более 1 тыс. загрузок (удалено из магазина Edge)
- Вкладка Wonders – более 6 тыс. загрузок (удалено из магазина Edge)
С помощью этих расширений злоумышленники перехватывают поисковые запросы пользователей и вместо этого перенаправляют их на вредоносные результаты или рекламные страницы, которые приносят злоумышленнику доход. труд.
Кроме того, они могут собирать учетные данные для входа, историю просмотров и другую конфиденциальную информацию, отслеживать действия жертв в Интернете и выполнять команды, полученные с серверов управления и контроля (C2).
Вредоносное ПО использует множество различных методов для сохранения стойкости в системе, что делает его удаление очень сложным. Может потребоваться удалить и переустановить браузер.
Полезные нагрузки PowerShell будут искать и изменять все ссылки ярлыков веб-браузера, чтобы принудительно загружать вредоносные расширения и отключать механизм автоматического обновления при запуске браузера. Это делается для того, чтобы предотвратить обновление и обнаружение вредоносного ПО встроенными средствами защиты Chrome.
В то же время это также препятствует установке будущих обновлений безопасности, делая Chrome и Edge уязвимыми для новых уязвимостей.
Еще более хитроумно вредоносное ПО изменяет библиотеки DLL, используемые Google Chrome и Microsoft Edge, чтобы перенаправить домашнюю страницу браузера на веб-сайт, находящийся под контролем злоумышленника, например https://microsearch(.)me/.
” Целью этого скрипта является обнаружение DLL-библиотек браузера (msedge.dll, если Edge является браузером по умолчанию) и изменение определенных байтов в определенных местах внутри него. », — поясняет ReasonLabs.
” Это позволяет скрипту перехватить поиск по умолчанию из Bing или Google на поисковый портал хакера. Скрипт может проверить, какая версия браузера установлена, и найти соответствующие байты .”
Единственный способ удалить это изменение — обновить браузер до новой версии или переустановить его.
Ручная очистка
Чтобы удалить вредоносный код из системы, жертвам необходимо пройти многоэтапный процесс удаления вредоносных файлов.
Сначала удалите запланированную задачу из планировщика задач Windows и проверьте наличие подозрительных записей, указывающих на скрипты типа «NvWinSearchOptimizer.ps1», обычно расположенные в «C:Windowssystem32».
Во-вторых, удалите вредоносные записи реестра, открыв редактор реестра («Win+R» > regedit) и перейдя к:
HKEY_LOCAL_MACHINESOFTWAREПолитикиGoogleChromeExtensionInstallForcelist
HKEY_LOCAL_MACHINESOFTWAREПолитикиMicrosoftEdgeExtensionInstallForcelist
HKEY_LOCAL_MACHINESOFTWAREWOW6432NodePoliciesGoogleChromeExtensionInstallForcelist
HKEY_LOCAL_MACHINESOFTWAREWOW6432NodePoliciesMicrosoftEdgeExtensionInstallForce list. список
Щелкните правой кнопкой мыши по каждому ключу с именем вредоносного расширения и выберите «Удалить», чтобы удалить их.
Наконец, используйте антивирусную программу для удаления вредоносных файлов из системы или перейдите в папку «C:WindowsSystem32» и удалите файл «NvWinSearchOptimizer.ps1» (или аналогичный).
Переустановка браузера после процесса очистки может не потребоваться, но настоятельно рекомендуется для удаления инвазивных изменений, внесенных вредоносным ПО.
Лесли Монтойя
Обновление 13 августа 2024 г.