Säkerhetsforskare på ReasonLabs har upptäckt en ny utbredd, pågående polymorf skadlig kodkampanj som med kraft installerar skadliga webbläsartillägg vid slutpunkter.
Installationsprogrammet och tilläggen, som sprids globalt, har påverkat minst 300 000 användare i Google Chrome och Microsoft Edge, och har modifierat webbläsarens körbara filer för att kapa hemsidor och stjäla webbhistorik.
Den trojanska skadliga programvaran, som vanligtvis inte upptäcks av antivirusverktyg, innehåller olika leveranser, allt från enkla annonsprogramtillägg som tar över sökningar till mer komplexa skadliga skript som levererar lokala tillägg för att stjäla privat data och utföra olika kommandon på infekterade enheter.
Sedan 2021 har denna trojanska malware härrört från imiterade webbplatser som tillhandahåller nedladdningar och tillägg för onlinespel och videor.
Hur fungerar skadlig programvara
ReasonLabs sa att infektionen börjar med att offren laddar ner mjukvaruinstallatörer via falska webbplatser som marknadsförs genom malvertising i Googles sökresultat. Annonsörerna använder imitationer av nedladdningssidor som Roblox FPS Unlocker, YouTube, VLC Media Player eller KeePass. De körbara filerna som laddas ner från dessa falska webbplatser försöker inte ens installera den avsedda programvaran utan distribuerar istället trojaner.
”När en användare laddar ner programmet från lookalike-webbplatsen, registrerar programmet en schemalagd uppgift med en pseudonym som följer mönstret för ett PowerShell-skriptfilnamn, som Updater_PrivacyBlocker_PR1, MicrosoftWindowsOptimizerUpdateTask_PR1 och NvOptimizerTaskUpdater_V2”, säger ReasonLabs forskare.
”Det är konfigurerat att köra ett PowerShell-skript med ett liknande namn ”-File C:/Windows/System32/NvWinSearchOptimizer.ps1″. PowerShell-skriptet laddar ner en nyttolast från en fjärrserver och kör den på maskinen.”
PowerShell-skriptet skrivs till system32-mappen, som anropar ett andrastegsskript från C2 direkt till minnet. När PowerShell-skriptet äntligen körs lägger det till registervärden för att tvinga fram installationen av skadliga tillägg. Dessa tillägg stjäl sökfrågor och omdirigerar dem genom motståndarens sökning, vilket gör dem omöjliga att upptäcka även med utvecklarläget PÅ.
Skriptet installerar sedan skadliga tillägg genom att modifiera Chrome- och Edge-registernycklar, vilket gör det ännu mer utmanande att inaktivera dem genom vanliga webbläsarinställningar. Tilläggen utför flera skadliga aktiviteter, inklusive att kapa sökningar från kända sökmotorer och omdirigera dem genom angriparkontrollerade domäner innan de slutligen visar resultat från legitima sökmotorer som Yahoo eller Bing.
ReasonLabs rapporterar att trojanens senaste iterationer modifierar kärnwebbläsarens DLL-filer som används av Google Chrome och Microsoft Edge för att fånga webbläsarens hemsida till en under hotaktörens kontroll, som t.ex. https://microsearch[.]mig/.
”Syftet med det här skriptet är att hitta webbläsarnas DLL-filer (msedge.dll om Edge är standard) och att ändra specifika bytes på specifika platser i den”, förklarar ReasonLabs.
”Om du gör det kan skriptet kapa standardsökningen från Bing eller Google till motståndarens sökportal. Den kontrollerar vilken version av webbläsaren som är installerad och söker igenom byten därefter.”
ReasonLabs Research Team varnade Google och Microsoft omedelbart när de upptäckte intrånget. Även om Microsoft har tagit bort alla identifierade skadliga tillägg från sin Edge Add-ons Store, finns vissa implicerade tillägg fortfarande på Google Chrome Web Store.
Samtidigt rekommenderas användare att endast ladda ner tillägg från pålitliga källor, vara försiktig med att ladda ner programvara från okända webbplatser och hålla sina antivirusprogram uppdaterade.