Οι ερευνητές ασφαλείας στο ReasonLabs ανακάλυψαν μια νέα ευρέως διαδεδομένη, συνεχιζόμενη εκστρατεία πολυμορφικού κακόβουλου λογισμικού που εγκαθιστά βίαια κακόβουλες επεκτάσεις προγράμματος περιήγησης στα τελικά σημεία.
Το πρόγραμμα εγκατάστασης και οι επεκτάσεις, που εξαπλώνονται παγκοσμίως, έχουν επηρεάσει τουλάχιστον 300.000 χρήστες στο Google Chrome και τον Microsoft Edge, τροποποιώντας τα εκτελέσιμα αρχεία του προγράμματος περιήγησης για να παραβιάζουν τις αρχικές σελίδες και να κλέβουν το ιστορικό περιήγησης.
Το trojan malware, το οποίο συνήθως δεν εντοπίζεται από τα εργαλεία προστασίας από ιούς, περιέχει διαφορετικά παραδοτέα που κυμαίνονται από απλές επεκτάσεις adware που αναλαμβάνουν τις αναζητήσεις έως πιο σύνθετα κακόβουλα σενάρια που παρέχουν τοπικές επεκτάσεις για την κλοπή ιδιωτικών δεδομένων και την εκτέλεση διαφόρων εντολών σε μολυσμένες συσκευές.
Από το 2021, αυτό το trojan κακόβουλο λογισμικό προέρχεται από ιστοτόπους απομίμησης που παρέχουν λήψεις και πρόσθετα για διαδικτυακά παιχνίδια και βίντεο.
Πώς λειτουργεί το κακόβουλο λογισμικό
Η ReasonLabs είπε ότι η μόλυνση ξεκινά με τα θύματα να κατεβάζουν προγράμματα εγκατάστασης λογισμικού μέσω ψεύτικων ιστότοπων που διατίθενται στο εμπόριο μέσω κακής διαφήμισης στα αποτελέσματα της Αναζήτησης Google. Οι διαφημιστές χρησιμοποιούν απομιμήσεις ιστότοπων λήψης όπως το Roblox FPS Unlocker, το YouTube, το VLC Media Player ή το KeePass. Τα εκτελέσιμα που έχουν ληφθεί από αυτούς τους ψεύτικους ιστότοπους δεν επιχειρούν καν να εγκαταστήσουν το προβλεπόμενο λογισμικό, αλλά αντίθετα αναπτύσσουν trojans.
“Μόλις ένας χρήστης πραγματοποιήσει λήψη του προγράμματος από τον παρόμοιο ιστότοπο, το πρόγραμμα καταχωρεί μια προγραμματισμένη εργασία χρησιμοποιώντας ένα ψευδώνυμο που ακολουθεί το μοτίβο ενός ονόματος αρχείου σεναρίου PowerShell, όπως Updater_PrivacyBlocker_PR1, MicrosoftWindowsOptimizerUpdateTask_PR1 και NvOptimizerTaskUpdater”,VV2bs researchUpdater.
“Είναι ρυθμισμένο να εκτελεί ένα σενάριο PowerShell με παρόμοιο όνομα “-File C:/Windows/System32/NvWinSearchOptimizer.ps1”. Το σενάριο PowerShell κατεβάζει ένα ωφέλιμο φορτίο από έναν απομακρυσμένο διακομιστή και το εκτελεί στο μηχάνημα.
Το σενάριο PowerShell γράφεται στο φάκελο system32, ο οποίος καλεί ένα σενάριο δεύτερου σταδίου από το C2 απευθείας στη μνήμη. Όταν η δέσμη ενεργειών PowerShell εκτελείται τελικά, προσθέτει τιμές μητρώου για να αναγκάσει την εγκατάσταση κακόβουλων επεκτάσεων. Αυτές οι επεκτάσεις κλέβουν ερωτήματα αναζήτησης και τα ανακατευθύνουν μέσω της αναζήτησης του αντιπάλου, καθιστώντας τα μη ανιχνεύσιμα ακόμη και με τη λειτουργία προγραμματιστή ‘ON’.
Στη συνέχεια, το σενάριο εγκαθιστά κακόβουλες επεκτάσεις τροποποιώντας τα κλειδιά μητρώου Chrome και Edge, καθιστώντας την απενεργοποίησή τους ακόμα πιο δύσκολη μέσω των κανονικών ρυθμίσεων του προγράμματος περιήγησης. Οι επεκτάσεις εκτελούν πολλές κακόβουλες δραστηριότητες, συμπεριλαμβανομένης της πειρατείας αναζητήσεων από γνωστές μηχανές αναζήτησης και της ανακατεύθυνσής τους μέσω τομέων που ελέγχονται από τους εισβολείς προτού τελικά εμφανίσουν αποτελέσματα από νόμιμες μηχανές αναζήτησης όπως το Yahoo ή το Bing.
Το ReasonLabs αναφέρει ότι οι πιο πρόσφατες επαναλήψεις του Trojan τροποποιούν τα βασικά αρχεία DLL του προγράμματος περιήγησης που χρησιμοποιούνται από το Google Chrome και το Microsoft Edge για την καταγραφή της αρχικής σελίδας του προγράμματος περιήγησης σε μία υπό τον έλεγχο του παράγοντα απειλής, όπως π.χ. https://microsearch[.]μου/.
“Ο σκοπός αυτού του σεναρίου είναι να εντοπίσει τα DLL των προγραμμάτων περιήγησης (msedge.dll εάν το Edge είναι το προεπιλεγμένο) και να αλλάξει συγκεκριμένα byte σε συγκεκριμένες τοποθεσίες μέσα σε αυτό”, εξηγεί η ReasonLabs.
«Αυτό επιτρέπει στο σενάριο να παραβιάσει την προεπιλεγμένη αναζήτηση από το Bing ή την Google στην πύλη αναζήτησης του αντιπάλου. Ελέγχει ποια έκδοση του προγράμματος περιήγησης είναι εγκατεστημένη και αναζητά ανάλογα τα byte.”
Η ερευνητική ομάδα του ReasonLabs ειδοποίησε αμέσως την Google και τη Microsoft μόλις ανακάλυψαν την παραβίαση. Ενώ η Microsoft έχει αφαιρέσει όλες τις εντοπισμένες κακόβουλες επεκτάσεις από το Edge Add-ons Store της, ορισμένες εμπλεκόμενες επεκτάσεις εξακολουθούν να υπάρχουν στο Google Chrome Web Store.
Εν τω μεταξύ, συνιστάται στους χρήστες να κάνουν λήψη επεκτάσεων μόνο από αξιόπιστες πηγές, να είναι προσεκτικοί σχετικά με τη λήψη λογισμικού από άγνωστους ιστότοπους και να διατηρούν ενημερωμένο το λογισμικό προστασίας από ιούς.
