据观察,一场持续不断的广泛恶意软件活动通过伪装成流行软件的虚假网站分发的特洛伊木马安装流氓 Google Chrome 和 Microsoft Edge 扩展。
ReasonLabs研究团队在一份分析中说:“特洛伊木马恶意软件包含不同的可交付成果,从劫持搜索的简单广告软件扩展到更复杂的恶意脚本,这些脚本提供本地扩展以窃取私人数据并执行各种命令。
“这种特洛伊木马恶意软件自 2021 年以来就存在,起源于对带有在线游戏和视频附加组件的下载网站的模仿。”
该恶意软件和扩展程序总共至少有300,000名Google Chrome和Microsoft Edge用户,这表明该活动具有广泛的影响。
该活动的核心是使用恶意广告来推送类似网站,这些网站推广 Roblox FPS Unlocker、YouTube、VLC 媒体播放器、Steam 或 KeePass 等知名软件,以诱骗搜索这些程序的用户下载特洛伊木马,该特洛伊木马充当安装浏览器扩展的渠道。
经过数字签名的恶意安装程序会注册一个计划任务,而该任务又配置为执行一个 PowerShell 脚本,该脚本负责下载和执行从远程服务器获取的下一阶段有效负载。
这包括修改 Windows 注册表以强制安装 Chrome Web Store 和 Microsoft Edge Add-ons 的扩展程序,这些扩展程序能够劫持 Google 和 Microsoft Bing 上的搜索查询,并通过攻击者控制的服务器重定向它们。
“即使开发者模式’开启’,用户也无法禁用该扩展程序,”ReasonLabs 说。“较新版本的脚本会删除浏览器更新。”
它还启动一个本地扩展,该扩展直接从命令和控制 (C2) 服务器下载,并具有广泛的功能,可以拦截所有 Web 请求并将其发送到服务器,接收命令和加密脚本,以及将脚本注入和加载到所有页面中。
最重要的是,它劫持来自 Ask.com、Bing 和 Google 的搜索查询,并将它们通过其服务器汇集到其他搜索引擎。
建议受到恶意软件攻击的用户删除每天重新激活恶意软件的计划任务,删除注册表项,并从系统中删除以下文件和文件夹 –
- C:\Windows\system32\Privacyblockerwindows.ps1
- C:\Windows\system32\Windowsupdater1.ps1
- C:\Windows\system32\WindowsUpdater1Script.ps1
- C:\Windows\system32\Optimizerwindows.ps1
- C:\Windows\system32\Printworkflowservice.ps1
- C:\Windows\system32\NvWinSearchOptimizer.ps1 – 2024 版本
- C:\Windows\system32\kondserp_optimizer.ps1 – 2024 年 5 月版本
- C:\Windows\InternalKernelGrid
- C:\Windows\InternalKernelGrid3
- C:\Windows\InternalKernelGrid4
- C:\Windows\ShellServiceLog
- C:\windows\privacyprotectorlog
- C:\Windows\NvOptimizerLog
这不是第一次在野外观察到类似的活动。2023 年 12 月,这家网络安全公司详细介绍了另一个特洛伊木马安装程序,该安装程序通过种子提供,该安装程序安装了伪装成 VPN 应用程序的恶意网络扩展,但实际上旨在运行“现金返还活动黑客”。