Više od 300.000 računara je inficirano, a ovo je krivac

Kampanju su otkrili istraživači ReasonLabsa koji upozoravaju da sajber kriminalci koji stoje iza nje koriste malvertajzing (maliciozne oglase) kako bi inficirali uređaje.

Infekcija počinje tako što žrtve preuzimaju programe za instalaciju softvera sa lažnih sajtova do kojih ih vode oglasi u rezultatima Google pretrage. Napadači koristi mamce kao što su Roblox FPS Unlocker, TikTok Video Downloader, YouTube downloader, VLC video player, Dolphin Emulator i menadžer lozinki KeePass. Preuzete programe za instalaciju digitalno potpisuje "Tommy Tech LTD". Nijedan od AV endžina na VirusTotalu u vreme kada je ReasonLabs otkrio kampanju nije detektovao ove programe.

Međutim, oni ne sadrže ništa što liči na obećani softver. Umesto toga pokreću PowerShell skriptu preuzetu u C:WindowsSystem32PrintWorkflowService.ps1 koja preuzima malver sa servera napadača i pokreće ga na računaru žrtve. Ista skripta takođe modifikuje Windows registar da bi omogućila instalaciju ekstenzija iz Chrome veb prodavnice i Microsoft Edge dodataka.

Scheduled Task je takođe kreiran za učitavanje PowerShell skripte u različitim intervalima, omogućavajući napadačima da instaliraju druge malvere.

Malver instalira veliki broj različitih ekstenzija za Google Chrome i Microsoft Edge koja će oteti upite za pretragu, promeniti početnu stranicu i preusmeriti pretrage korisnika preko servera napadača tako da mogu da ukradu istoriju pretraživanja.

• Koristite Android? Ovaj virus bi mogao da vas špijunira!
• Špijunski malver se godinama krio u Google prodavnici aplikacija
• Razotkriveni su
• Pazite, vreba novi virus koji krade lozinke!

Google Chrome ekstenzije koje su povezane sa ovom kampanjom su Custom Search Bar, yglSearch, Qcom search bar, Qtr Search, Micro Search Chrome Extension, Active Search Bar, Your Search Bar, Safe Search Eng i Lax Search.

Ekstenzije za Microsoft Edge povezane sa ovom kampanjom su Simple New Tab, Cleaner New Tab, NewTab Wonders, SearchNukes, EXYZ Search i Wonders Tab.

Većina ovih ekstenzija sada je uklonjena iz Googleove i Microsoftove prodavnice dodataka za veb pregledače.

Preko ovih ekstenzija, sajber kriminalci otimaju korisničke upite za pretragu i preusmeravaju ih na svoje rezultate pretrage ili stranice sa reklamama od kojih zarađuju.

Pored toga, oni mogu da snime podatke za prijavljivanje, istoriju pretraživanja i druge osetljive informacije, nadgledaju aktivnosti žrtve i izvršavaju komande primljene od komandnog i kontrolnog (C2) servera.

Ekstenzije su skrivene na stranici za upravljanje ekstenzijama pretraživača, čak i kada je aktiviran režim programera, tako da je njihovo uklanjanje komplikovano. Malver koristi različite metode da ostane na uređaju, što veoma otežava njegovo uklanjanje. Verovatno će zahtevati deinstaliranje i ponovnu instalaciju pregledača da bi se dovršilo uklanjanje.

PowerShell skripte će tražiti i modifikovati sve shortcut linkove veb pretraživača da bi se prinudno učitale zlonamerne ekstenzije i onemogućio mehanizam automatskog ažuriranja pregledača kada se pregledač pokrene, da bi se sprečilo ažuriranje ugrađene zaštite Chromea i otkrivanje malvera. Takođe se tako sprečava instalacija bezbednosnih ažuriranja, pa Chrome i Edge ostaju izloženi novim ranjivostima koje se otkrivaju. Pošto se mnogi korisnici oslanjaju na proces automatskog ažuriranja, verovatno ovo neće ni primetiti.