Malver instalirao maliciozne ekstenzije za Google Chrome i Microsoft Edge na više od 300.000 računara

Vesti, 12.08.2024, 11:30 AM

Malver instalirao maliciozne ekstenzije za Google Chrome i Microsoft Edge na više od 300.000 računara

Maliciozne ekstenzije za Google Chrome i Microsoft Edge instalirane su u više od 300.000 veb pregledača modifikovanjem izvršnih fajlova.

Kampanju su otkrili istraživači ReasonLabsa koji upozoravaju da sajber kriminalci koji stoje iza nje koriste malvertajzing (maliciozne oglase) kako bi inficirali uređaje.

Infekcija počinje tako što žrtve preuzimaju programe za instalaciju softvera sa lažnih sajtova do kojih ih vode oglasi u rezultatima Google pretrage. Napadači koristi mamce kao što su Roblox FPS Unlocker, TikTok Video Downloader, YouTube downloader, VLC video player, Dolphin Emulator i menadžer lozinki KeePass. Preuzete programe za instalaciju digitalno potpisuje “Tommy Tech LTD”. Nijedan od AV endžina na VirusTotalu u vreme kada je ReasonLabs otkrio kampanju nije detektovao ove programe.

Međutim, oni ne sadrže ništa što liči na obećani softver. Umesto toga pokreću PowerShell skriptu preuzetu u C:WindowsSystem32PrintWorkflowService.ps1 koja preuzima malver sa servera napadača i pokreće ga na računaru žrtve. Ista skripta takođe modifikuje Windows registar da bi omogućila instalaciju ekstenzija iz Chrome veb prodavnice i Microsoft Edge dodataka.

Scheduled Task je takođe kreiran za učitavanje PowerShell skripte u različitim intervalima, omogućavajući napadačima da instaliraju druge malvere.

Malver instalira veliki broj različitih ekstenzija za Google Chrome i Microsoft Edge koja će oteti upite za pretragu, promeniti početnu stranicu i preusmeriti pretrage korisnika preko servera napadača tako da mogu da ukradu istoriju pretraživanja.

Google Chrome ekstenzije koje su povezane sa ovom kampanjom su Custom Search Bar, yglSearch, Qcom search bar, Qtr Search, Micro Search Chrome Extension, Active Search Bar, Your Search Bar, Safe Search Eng i Lax Search.

Ekstenzije za Microsoft Edge povezane sa ovom kampanjom su Simple New Tab, Cleaner New Tab, NewTab Wonders, SearchNukes, EXYZ Search i Wonders Tab.

Većina ovih ekstenzija sada je uklonjena iz Googleove i Microsoftove prodavnice dodataka za veb pregledače.

Preko ovih ekstenzija, sajber kriminalci otimaju korisničke upite za pretragu i preusmeravaju ih na svoje rezultate pretrage ili stranice sa reklamama od kojih zarađuju.

Pored toga, oni mogu da snime podatke za prijavljivanje, istoriju pretraživanja i druge osetljive informacije, nadgledaju aktivnosti žrtve i izvršavaju komande primljene od komandnog i kontrolnog (C2) servera.

Ekstenzije su skrivene na stranici za upravljanje ekstenzijama pretraživača, čak i kada je aktiviran režim programera, tako da je njihovo uklanjanje komplikovano. Malver koristi različite metode da ostane na uređaju, što veoma otežava njegovo uklanjanje. Verovatno će zahtevati deinstaliranje i ponovnu instalaciju pregledača da bi se dovršilo uklanjanje.

PowerShell skripte će tražiti i modifikovati sve shortcut linkove veb pretraživača da bi se prinudno učitale zlonamerne ekstenzije i onemogućio mehanizam automatskog ažuriranja pregledača kada se pregledač pokrene, da bi se sprečilo ažuriranje ugrađene zaštite Chromea i otkrivanje malvera. Takođe se tako sprečava instalacija bezbednosnih ažuriranja, pa Chrome i Edge ostaju izloženi novim ranjivostima koje se otkrivaju. Pošto se mnogi korisnici oslanjaju na proces automatskog ažuriranja, verovatno ovo neće ni primetiti.

Foto: Growtika | Unsplash


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Nova era sajber kriminala: ransomware u oblaku

Nova era sajber kriminala: ransomware u oblaku

Ransomware je dugo bio sinonim za šifrovane fajlove na računarima i hakere koji od žrtava traže da plate otkup za vraćanje podataka. Međutim, Mi... Dalje

Grok chatovi završili na Google-u: 370.000 privatnih razgovora dostupno svima

Grok chatovi završili na Google-u: 370.000 privatnih razgovora dostupno svima

Ako ste ikada koristili Grok, četbot kompanije xAI iza kojeg stoji Ilon Musk, možda su transkripti vaših razgovora završili na internetu, dostupni... Dalje

Veštačka inteligencija je naivna: AI pomoćnici ne prepoznaju stare onlajn prevare

Veštačka inteligencija je naivna: AI pomoćnici ne prepoznaju stare onlajn prevare

Istraživači iz Guardio Labs-a demonstrirali su novu tehniku napada pod nazivom PromptFix, koja pokazuje koliko su AI pomoćnici u pretraživačima r... Dalje

Ahilova peta menadžera lozinki - ugroženi milioni korisnika

Ahilova peta menadžera lozinki - ugroženi milioni korisnika

Na svetskoj hakerskoj konferenciji DEF CON, istraživač Marek Tot iz Češke otkrio je kritične ranjivosti u ekstenzijama za veb pregledače popular... Dalje

Apple objavio hitne zakrpe: opasna ranjivost već iskorišćena u napadima

Apple objavio hitne zakrpe: opasna ranjivost već iskorišćena u napadima

Apple je objavio vanredna ažuriranja za iPhone, iPad i Mac, nakon što je otkrivena ranjivost koja se, prema priznanju kompanije, već koristi u cilj... Dalje