Malver instalirao maliciozne ekstenzije za Google Chrome i Microsoft Edge na više od 300.000 računara

Vesti, 12.08.2024, 11:30 AM

Malver instalirao maliciozne ekstenzije za Google Chrome i Microsoft Edge na više od 300.000 računara

Maliciozne ekstenzije za Google Chrome i Microsoft Edge instalirane su u više od 300.000 veb pregledača modifikovanjem izvršnih fajlova.

Kampanju su otkrili istraživači ReasonLabsa koji upozoravaju da sajber kriminalci koji stoje iza nje koriste malvertajzing (maliciozne oglase) kako bi inficirali uređaje.

Infekcija počinje tako što žrtve preuzimaju programe za instalaciju softvera sa lažnih sajtova do kojih ih vode oglasi u rezultatima Google pretrage. Napadači koristi mamce kao što su Roblox FPS Unlocker, TikTok Video Downloader, YouTube downloader, VLC video player, Dolphin Emulator i menadžer lozinki KeePass. Preuzete programe za instalaciju digitalno potpisuje “Tommy Tech LTD”. Nijedan od AV endžina na VirusTotalu u vreme kada je ReasonLabs otkrio kampanju nije detektovao ove programe.

Međutim, oni ne sadrže ništa što liči na obećani softver. Umesto toga pokreću PowerShell skriptu preuzetu u C:WindowsSystem32PrintWorkflowService.ps1 koja preuzima malver sa servera napadača i pokreće ga na računaru žrtve. Ista skripta takođe modifikuje Windows registar da bi omogućila instalaciju ekstenzija iz Chrome veb prodavnice i Microsoft Edge dodataka.

Scheduled Task je takođe kreiran za učitavanje PowerShell skripte u različitim intervalima, omogućavajući napadačima da instaliraju druge malvere.

Malver instalira veliki broj različitih ekstenzija za Google Chrome i Microsoft Edge koja će oteti upite za pretragu, promeniti početnu stranicu i preusmeriti pretrage korisnika preko servera napadača tako da mogu da ukradu istoriju pretraživanja.

Google Chrome ekstenzije koje su povezane sa ovom kampanjom su Custom Search Bar, yglSearch, Qcom search bar, Qtr Search, Micro Search Chrome Extension, Active Search Bar, Your Search Bar, Safe Search Eng i Lax Search.

Ekstenzije za Microsoft Edge povezane sa ovom kampanjom su Simple New Tab, Cleaner New Tab, NewTab Wonders, SearchNukes, EXYZ Search i Wonders Tab.

Većina ovih ekstenzija sada je uklonjena iz Googleove i Microsoftove prodavnice dodataka za veb pregledače.

Preko ovih ekstenzija, sajber kriminalci otimaju korisničke upite za pretragu i preusmeravaju ih na svoje rezultate pretrage ili stranice sa reklamama od kojih zarađuju.

Pored toga, oni mogu da snime podatke za prijavljivanje, istoriju pretraživanja i druge osetljive informacije, nadgledaju aktivnosti žrtve i izvršavaju komande primljene od komandnog i kontrolnog (C2) servera.

Ekstenzije su skrivene na stranici za upravljanje ekstenzijama pretraživača, čak i kada je aktiviran režim programera, tako da je njihovo uklanjanje komplikovano. Malver koristi različite metode da ostane na uređaju, što veoma otežava njegovo uklanjanje. Verovatno će zahtevati deinstaliranje i ponovnu instalaciju pregledača da bi se dovršilo uklanjanje.

PowerShell skripte će tražiti i modifikovati sve shortcut linkove veb pretraživača da bi se prinudno učitale zlonamerne ekstenzije i onemogućio mehanizam automatskog ažuriranja pregledača kada se pregledač pokrene, da bi se sprečilo ažuriranje ugrađene zaštite Chromea i otkrivanje malvera. Takođe se tako sprečava instalacija bezbednosnih ažuriranja, pa Chrome i Edge ostaju izloženi novim ranjivostima koje se otkrivaju. Pošto se mnogi korisnici oslanjaju na proces automatskog ažuriranja, verovatno ovo neće ni primetiti.

Foto: Growtika | Unsplash


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Sajber kriminalci imaju novi trik: Lažnom captcha verifikacijom kradu lozinke i novac od žrtava

Sajber kriminalci imaju novi trik: Lažnom captcha verifikacijom kradu lozinke i novac od žrtava

Sajber kriminalci su pronašli novi način da prevare korisnike da zaraze svoje sisteme - korišćenjem lažnih stranica za captcha verifikaciju, koj... Dalje

Google omogućio automatsku sinhronizaciju pristupnih ključeva preko Google Password Managera

Google omogućio automatsku sinhronizaciju pristupnih ključeva preko Google Password Managera

Google je najavio da će se pristupni ključevi (passkeys) dodati u Google Password Manager automatski sinhronizovati između Windows, macOS, Linux, ... Dalje

Prevaranti koriste slike sa Google Street View za iznudu

Prevaranti koriste slike sa Google Street View za iznudu

Istraživači bezbednosti iz firme Cofense upozoravaju da prevaranti koriste slike sa Google Street View-a da zastraše korisnike koji su žrtve napad... Dalje

Google najavio nove funkcije za Google Chrome: jednokratne dozvole za sajtove i unapređeni Safety Check

Google najavio nove funkcije za Google Chrome: jednokratne dozvole za sajtove i unapređeni Safety Check

Google je najavio da uvodi nove funkcije u Chrome koje korisnicima daju veću kontrolu nad njihovim podacima i štite ih od onlajn pretnji. „Sa... Dalje

Temu negira da je hakovan i da su podaci korisnika ukradeni

Temu negira da je hakovan i da su podaci korisnika ukradeni

Popularna kineska onlajn prodavnica Temu kategorički je negirala da je hakovana i da su podaci korisnika ukradeni, nakon što je na poznatom hakersko... Dalje