Злонамерните екстензии за Google Chrome и Microsoft Edge се инсталирани во повеќе од 300.000 веб-прелистувачи со менување на извршните датотеки.
Кампањата беше откриена од истражувачите на ReasonLabs кои предупредуваат дека сајбер-криминалците зад неа користат малверзации (злонамерни реклами) за да заразат уреди.
Инфекцијата започнува со тоа што жртвите преземаат инсталатери на софтвер од лажни страници кои им се насочени преку реклами во резултатите од пребарувањето на Google. Напаѓачите користат мамки како што се Roblox FPS Unlocker, TikTok Video Downloader, YouTube преземач, VLC видео плеер, Dolphin Emulator и менаџер на лозинка KeePass. Преземените инсталатери се дигитално потпишани од „Tommy Tech LTD“. Ниту еден од AV-моторите на VirusTotal во времето кога ReasonLabs ја откри кампањата не ги откри овие програми.
Сепак, тие не содржат ништо слично на ветениот софтвер. Наместо тоа, тие извршуваат скрипта PowerShell преземена на C:WindowsSystem32PrintWorkflowService.ps1 која го презема малициозниот софтвер од серверот на напаѓачот и го извршува на компјутерот на жртвата. Истата скрипта го модифицира и регистарот на Windows за да дозволи инсталирање на екстензии од веб-продавницата на Chrome и приклучоците на Microsoft Edge.
Scheduled Task е исто така креиран за да се вчита PowerShell скрипта во различни интервали, дозволувајќи им на напаѓачите да инсталираат друг малициозен софтвер.
Злонамерниот софтвер инсталира голем број различни екстензии на Google Chrome и Microsoft Edge кои ќе ги киднапираат барањата за пребарување, ќе ја менуваат почетната страница и ќе ги пренасочат пребарувањата на корисниците преку серверот на напаѓачот за да можат да ја украдат историјата на пребарување.
Екстензиите на Google Chrome поврзани со оваа кампања се Custom Search Bar, yglSearch, Qcom search bar, Qtr Search, Micro Search Chrome Extension, Active Search Bar, Your Search Bar, Safe Search Eng и Lax Search.
Наставките на Microsoft Edge поврзани со оваа кампања се Simple New Tab, Cleaner New Tab, NewTab Wonders, SearchNukes, EXYZ Search и Wonders Tab.
Повеќето од овие екстензии сега се отстранети од продавниците за додатоци за веб-прелистувачи на Google и Microsoft.
Преку овие екстензии, сајбер-криминалците ги киднапираат барањата за пребарување на корисниците и ги пренасочуваат кон нивните резултати од пребарување или страници за реклами од кои заработуваат пари.
Покрај тоа, тие можат да снимаат податоци за најавување, историја на прелистување и други чувствителни информации, да ги следат активностите на жртвата и да извршуваат команди добиени од серверот за команди и контрола (C2).
Екстензиите се скриени на страницата за управување со екстензии на прелистувачот, дури и кога е активиран режимот на програмери, па нивното отстранување е комплицирано. Злонамерниот софтвер користи различни методи за да остане на уредот, што го прави многу тешко да се отстрани. Најверојатно ќе бара деинсталирање и повторно инсталирање на вашиот прелистувач за да се заврши отстранувањето.
Скриптите на PowerShell ќе ги бараат и менуваат сите врски со кратенки на веб-прелистувачот за да принудат да ги вчитаат малициозните екстензии и да го оневозможат механизмот за автоматско ажурирање на прелистувачот кога ќе стартува прелистувачот, за да се спречи вградената заштита на Chrome од ажурирање и откривање на малициозен софтвер. Исто така, го спречува инсталирањето на безбедносни ажурирања, оставајќи ги Chrome и Edge изложени на нови пропусти кои се откриени. Бидејќи многу корисници се потпираат на процесот на автоматско ажурирање, тие веројатно нема ни да го забележат ова.