Kako su sajber kriminalci inficirali više od 300.000 računara?
Maliciozne ekstenzije za Google Chrome i Microsoft Edge instalirane su u više od 300.000 veb pregledača modifikovanjem izvršnih fajlova.
Kampanju su otkrili istraživači ReasonLabsa koji upozoravaju da sajber kriminalci koji stoje iza nje koriste malvertajzing (maliciozne oglase) kako bi inficirali uređaje.
Infekcija počinje tako što žrtve preuzimaju programe za instalaciju softvera sa lažnih sajtova do kojih ih vode oglasi u rezultatima Google pretrage. Napadači koristi mamce kao što su Roblox FPS Unlocker, TikTok Video Downloader, YouTube downloader, VLC video player, Dolphin Emulator i menadžer lozinki KeePass. Preuzete programe za instalaciju digitalno potpisuje „Tommy Tech LTD“. Nijedan od AV endžina na VirusTotalu u vrijeme kada je ReasonLabs otkrio kampanju nije detektovao ove programe.
Međutim, oni ne sadrže ništa što liči na obećani softver. Umjesto toga pokreću PowerShell skriptu preuzetu u C:WindowsSystem32PrintWorkflowService.ps1 koja preuzima malver sa servera napadača i pokreće ga na računaru žrtve. Ista skripta takođe modifikuje Windows registar da bi omogućila instalaciju ekstenzija iz Chrome veb prodavnice i Microsoft Edge dodataka.
Scheduled Task je takođe kreiran za učitavanje PowerShell skripte u različitim intervalima, omogućavajući napadačima da instaliraju druge malvere.
Malver instalira veliki broj različitih ekstenzija za Google Chrome i Microsoft Edge koja će oteti upite za pretragu, promijeniti početnu stranicu i preusmjeriti pretrage korisnika preko servera napadača tako da mogu da ukradu istoriju pretraživanja.
Google Chrome ekstenzije koje su povezane sa ovom kampanjom su Custom Search Bar, yglSearch, Qcom search bar, Qtr Search, Micro Search Chrome Extension, Active Search Bar, Your Search Bar, Safe Search Eng i Lax Search.
Ekstenzije za Microsoft Edge povezane sa ovom kampanjom su Simple New Tab, Cleaner New Tab, NewTab Wonders, SearchNukes, EXYZ Search i Wonders Tab.
Većina ovih ekstenzija sada je uklonjena iz Googleove i Microsoftove prodavnice dodataka za veb pregledače.
Preko ovih ekstenzija, sajber kriminalci otimaju korisničke upite za pretragu i preusmjeravaju ih na svoje rezultate pretrage ili stranice sa reklamama od kojih zarađuju.
Pored toga, oni mogu da snime podatke za prijavljivanje, istoriju pretraživanja i druge osjetljive informacije, nadgledaju aktivnosti žrtve i izvršavaju komande primljene od komandnog i kontrolnog (C2) servera.
Ekstenzije su skrivene na stranici za upravljanje ekstenzijama pretraživača, čak i kada je aktiviran režim programera, tako da je njihovo uklanjanje komplikovano. Malver koristi različite metode da ostane na uređaju, što veoma otežava njegovo uklanjanje. Vjerovatno će zahtijevati deinstaliranje i ponovnu instalaciju pregledača da bi se dovršilo uklanjanje.
PowerShell skripte će tražiti i modifikovati sve shortcut linkove veb pretraživača da bi se prinudno učitale zlonamjerne ekstenzije i onemogućio mehanizam automatskog ažuriranja pregledača kada se pregledač pokrene, da bi se spriječilo ažuriranje ugrađene zaštite Chromea i otkrivanje malvera. Takođe se tako sprječava instalacija bezbjednosnih ažuriranja, pa Chrome i Edge ostaju izloženi novim ranjivostima koje se otkrivaju. Pošto se mnogi korisnici oslanjaju na proces automatskog ažuriranja, vjerovatno ovo neće ni primijetiti.
(Informacija.rs)