Malver instalirao maliciozne ekstenzije za Google Chrome i Microsoft Edge na više od 300.000 računara
Vesti, 12.08.2024, 11:30 AM
Maliciozne ekstenzije za Google Chrome i Microsoft Edge instalirane su u više od 300.000 veb pregledača modifikovanjem izvršnih fajlova.
Kampanju su otkrili istraživači ReasonLabsa koji upozoravaju da sajber kriminalci koji stoje iza nje koriste malvertajzing (maliciozne oglase) kako bi inficirali uređaje.
Infekcija počinje tako što žrtve preuzimaju programe za instalaciju softvera sa lažnih sajtova do kojih ih vode oglasi u rezultatima Google pretrage. Napadači koristi mamce kao što su Roblox FPS Unlocker, TikTok Video Downloader, YouTube downloader, VLC video player, Dolphin Emulator i menadžer lozinki KeePass. Preuzete programe za instalaciju digitalno potpisuje “Tommy Tech LTD”. Nijedan od AV endžina na VirusTotalu u vreme kada je ReasonLabs otkrio kampanju nije detektovao ove programe.
Međutim, oni ne sadrže ništa što liči na obećani softver. Umesto toga pokreću PowerShell skriptu preuzetu u C:WindowsSystem32PrintWorkflowService.ps1 koja preuzima malver sa servera napadača i pokreće ga na računaru žrtve. Ista skripta takođe modifikuje Windows registar da bi omogućila instalaciju ekstenzija iz Chrome veb prodavnice i Microsoft Edge dodataka.
Scheduled Task je takođe kreiran za učitavanje PowerShell skripte u različitim intervalima, omogućavajući napadačima da instaliraju druge malvere.
Malver instalira veliki broj različitih ekstenzija za Google Chrome i Microsoft Edge koja će oteti upite za pretragu, promeniti početnu stranicu i preusmeriti pretrage korisnika preko servera napadača tako da mogu da ukradu istoriju pretraživanja.
Google Chrome ekstenzije koje su povezane sa ovom kampanjom su Custom Search Bar, yglSearch, Qcom search bar, Qtr Search, Micro Search Chrome Extension, Active Search Bar, Your Search Bar, Safe Search Eng i Lax Search.
Ekstenzije za Microsoft Edge povezane sa ovom kampanjom su Simple New Tab, Cleaner New Tab, NewTab Wonders, SearchNukes, EXYZ Search i Wonders Tab.
Većina ovih ekstenzija sada je uklonjena iz Googleove i Microsoftove prodavnice dodataka za veb pregledače.
Preko ovih ekstenzija, sajber kriminalci otimaju korisničke upite za pretragu i preusmeravaju ih na svoje rezultate pretrage ili stranice sa reklamama od kojih zarađuju.
Pored toga, oni mogu da snime podatke za prijavljivanje, istoriju pretraživanja i druge osetljive informacije, nadgledaju aktivnosti žrtve i izvršavaju komande primljene od komandnog i kontrolnog (C2) servera.
Ekstenzije su skrivene na stranici za upravljanje ekstenzijama pretraživača, čak i kada je aktiviran režim programera, tako da je njihovo uklanjanje komplikovano. Malver koristi različite metode da ostane na uređaju, što veoma otežava njegovo uklanjanje. Verovatno će zahtevati deinstaliranje i ponovnu instalaciju pregledača da bi se dovršilo uklanjanje.
PowerShell skripte će tražiti i modifikovati sve shortcut linkove veb pretraživača da bi se prinudno učitale zlonamerne ekstenzije i onemogućio mehanizam automatskog ažuriranja pregledača kada se pregledač pokrene, da bi se sprečilo ažuriranje ugrađene zaštite Chromea i otkrivanje malvera. Takođe se tako sprečava instalacija bezbednosnih ažuriranja, pa Chrome i Edge ostaju izloženi novim ranjivostima koje se otkrivaju. Pošto se mnogi korisnici oslanjaju na proces automatskog ažuriranja, verovatno ovo neće ni primetiti.
Izdvojeno
Tramp pomilovao poznatog sajber kriminalca Rosa Ulbrihta, vlasnika čuvenog sajta Silk Road
Američki predsednik Donald Tramp održao je reč i pomilovao poznatog sajber kriminalca Rosa Ulbrihta, koji je ranije osuđen na doživotni zatvor. P... Dalje
Malveri Redline, Vidar i Raccoon Stealer samo prošle godine ukrali milijardu lozinki
Prema izveštaju Specops Softwarea, samo prošle godine malveri su ukrali više od milijardu lozinki uprkos tome što 230 miliona ukradenih lozinki is... Dalje
Ruski hakeri koriste WhatsApp za napade na diplomate
Microsoftovi stručnjaci za bezbednost otkrili su novu kampanju fišinga hakera koje podržava ruska država a koja je usmerena protiv visokih diploma... Dalje
Hakeri koriste slike i generativnu veštačku inteligenciju za širenje malvera putem mejlova
Sajber kriminalci primenjuju nove tehnike kojima zaobilaze skenere elektronske pošte, kao što je ugrađivanje malvera u slike ili korišćenje GenA... Dalje
Većina zaposlenih koristi besplatne verzije AI alata kojima nedostaju odgovarajuće bezbednosne kontrole
Skoro polovina osetljivih podataka koji zaposleni unose u AI alate kao što je ChatGPT uključuje osetljive informacije o klijentima, pokazalo je novo... Dalje
Pratite nas
Nagrade