Un nou atac global de tip malware polimorfic a fost descoperit, instalând forțat extensii pe browserele utilizatorilor. Acesta a afectat peste 300.000 de utilizatori de Microsoft Edge și Google Chrome, răspândindu-se prin site-uri web false care imită platforme de descărcare populare.
TL;DR
- Un nou malware polimorfic instalează extensii malițioase pe Microsoft Edge și Google Chrome.
- Afectează peste 300.000 de utilizatori.
- Răspândit prin site-uri web false care imită platforme populare.
- Difuzează adware și scripturi malițioase pentru a fura informații personale.
- Eliminarea completă necesită ștergerea unor sarcini programate și chei de registru.
Ce este acest malware?
Un nou malware polimorfic a fost descoperit recent, care instalează forțat extensii pe browserele utilizatorilor. Acest malware a afectat deja peste 300.000 de utilizatori ai Microsoft Edge și Google Chrome. Extensiile malițioase variază de la adware simplu care preia controlul asupra căutărilor, până la scripturi complexe care fură informații personale.
Cum se răspândește?
Malware-ul provine de pe site-uri web false care imită platforme populare de descărcare, cum ar fi YouTube, VLC, Roblox FPS Unlocker sau KeePass. Utilizatorii descarcă executabile de pe aceste site-uri fără să știe că, în locul programului dorit, instalează malware. Unele versiuni recente folosesc un API pentru a descărca programul original de pe un link Google storage.
Cum funcționează atacul?
Specialiștii de la ReasonLabs explică: „Odată ce un utilizator descarcă programul de pe site-ul fals, acesta înregistrează o sarcină programată folosind un pseudonim care urmează un tipar specific, cum ar fi un nume de fișier script PowerShell, de exemplu Updater_PrivacyBlocker_PR1”. Această sarcină programată rulează un script PowerShell care instalează payload-ul pe computer, descărcându-l de pe un server la distanță.
Ce face scriptul PowerShell?
Scriptul PowerShell are mai multe funcții, printre care:
- Instalează extensii malițioase pe Chrome și Edge care preiau controlul asupra căutărilor.
- Folosește un server C2 pentru a descărca fișiere și a le stoca într-un director specific.
- Adaugă căi de registru necesare în HKLM\SOFTWARE\Policies pentru a forța instalarea extensiilor.
Specialiștii adaugă: „Funcția addRegVal primește instrucțiuni despre ce extensii să instaleze forțat și calea de registru a cheii de instalare forțată”.
Cum să te protejezi?
Pentru a elimina complet acest malware, este necesar să ștergi sarcina programată zilnică care reactivă malware-ul și să elimini câteva chei de registru. Verificarea și eliminarea mecanismelor de persistență ale malware-ului este esențială pentru a te proteja pe termen lung.
Sursa articolului:
https://cybersecuritynews.com/malware-impacts-300k-browsers/