Bezpečnostní výzkumníci z ReasonLabs objevili novou rozšířenou, probíhající kampaň proti polymorfnímu malwaru, která násilně instaluje škodlivá rozšíření prohlížeče na koncové body.
Instalační program a rozšíření, které se šíří po celém světě, ovlivnily nejméně 300 000 uživatelů v prohlížečích Google Chrome a Microsoft Edge a upravily spustitelné soubory prohlížeče tak, aby ukradly domovské stránky a ukradly historii prohlížení.
Trojský malware, který antivirové nástroje obvykle nedetekují, obsahuje různé výstupy od jednoduchých adwarových rozšíření, která přebírají vyhledávání, až po složitější škodlivé skripty, které dodávají místní rozšíření za účelem krádeže soukromých dat a provádění různých příkazů na infikovaných zařízeních.
Od roku 2021 pochází tento trojský malware z napodobenin webových stránek, které poskytují stahování a doplňky pro online hry a videa.
Jak funguje malware
Společnost ReasonLabs uvedla, že infekce začíná tím, že si oběti stahují instalační programy prostřednictvím falešných webových stránek, které jsou nabízeny prostřednictvím malwaru ve výsledcích Vyhledávání Google. Inzerenti používají napodobeniny stránek pro stahování, jako je Roblox FPS Unlocker, YouTube, VLC Media Player nebo KeePass. Spustitelné soubory stažené z těchto falešných webových stránek se ani nepokoušejí nainstalovat zamýšlený software, ale místo toho nasazují trojské koně.
„Jakmile si uživatel stáhne program z podobné webové stránky, program zaregistruje naplánovanou úlohu pomocí pseudonymu, který odpovídá vzoru názvu souboru skriptu PowerShell, jako Updater_PrivacyBlocker_PR1, MicrosoftWindowsOptimizerUpdateTask_PR1 a NvOptimizerTaskUpdater_V2,“ říkají výzkumníci z ReasonLabs.
„Je nakonfigurován tak, aby spouštěl skript prostředí PowerShell s podobně vypadajícím názvem „-File C:/Windows/System32/NvWinSearchOptimizer.ps1″. Skript PowerShell stáhne datovou část ze vzdáleného serveru a spustí ji na počítači.“
Skript PowerShell se zapíše do složky system32, která vyvolá skript druhé fáze z C2 přímo do paměti. Když je skript PowerShell konečně spuštěn, přidá hodnoty registru, aby se vynutila instalace škodlivých rozšíření. Tato rozšíření kradou vyhledávací dotazy a přesměrovávají je prostřednictvím vyhledávání protivníka, díky čemuž jsou nezjistitelné ani při zapnutém režimu vývojáře.
Skript poté nainstaluje škodlivá rozšíření úpravou klíčů registru Chrome a Edge, takže jejich deaktivace je ještě obtížnější prostřednictvím běžného nastavení prohlížeče. Rozšíření provádějí několik škodlivých činností, včetně únosů vyhledávání ze známých vyhledávačů a jejich přesměrování přes domény kontrolované útočníky, než konečně zobrazí výsledky z legitimních vyhledávačů, jako je Yahoo nebo Bing.
ReasonLabs uvádí, že nejnovější iterace trojského koně upravují základní soubory DLL prohlížeče používané Google Chrome a Microsoft Edge k zachycení domovské stránky prohlížeče na stránku pod kontrolou aktéra hrozby, jako je např. https://microsearch[.]mě/.
„Účelem tohoto skriptu je vyhledat knihovny DLL prohlížečů (msedge.dll, pokud je Edge výchozí) a změnit konkrétní bajty na konkrétních místech v něm,“ vysvětluje ReasonLabs.
„To umožní skriptu unést výchozí vyhledávání z Bing nebo Google na vyhledávací portál protivníka. Zkontroluje, která verze prohlížeče je nainstalována, a podle toho prohledá bajty.“
Výzkumný tým ReasonLabs okamžitě upozornil společnosti Google a Microsoft, když zjistil porušení. Přestože společnost Microsoft odstranila všechna identifikovaná škodlivá rozšíření ze svého obchodu Edge Add-ons Store, některá implikovaná rozšíření stále existují v Internetovém obchodě Google Chrome.
Mezitím se uživatelům doporučuje stahovat rozšíření pouze z důvěryhodných zdrojů, být opatrní při stahování softwaru z neznámých webových stránek a udržovat svůj antivirový software aktuální.
