Erweiterung Trojaner Malware
Es wurde eine groß angelegte Malware-Kampagne entdeckt. Sie zielt auf Benutzer ab, indem sie betrügerische Google Chrome- und Microsoft Edge-Erweiterungen über einen Trojaner installiert, der über gefälschte Websites verbreitet wird, die sich als beliebte Software ausgeben. Der Trojaner setzt eine Reihe von Payloads ein, von einfachen Adware-Erweiterungen, die Suchvorgänge kapern, bis hin zu fortgeschritteneren unsicheren Skripten, die lokale Erweiterungen installieren, die darauf ausgelegt sind, persönliche Daten zu sammeln und verschiedene Befehle auszuführen. Dieser Trojaner, der seit 2021 aktiv ist, stammt von gefälschten Download-Websites, die Add-ons für Online-Spiele und -Videos anbieten.
Inhaltsverzeichnis
Hunderttausende betroffene Benutzer
Die Schadsoftware und die zugehörigen Erweiterungen haben über 300.000 Nutzer von Google Chrome und Microsoft Edge betroffen, was die weitverbreitete Natur der Bedrohung verdeutlicht.
Im Mittelpunkt dieser Kampagne steht der Einsatz von Malvertising, um Benutzer auf betrügerische Websites umzuleiten, die bekannte Software wie Roblox FPS Unlocker, YouTube, VLC Media Player, Steam oder KeePass imitieren. Diese Websites verleiten Benutzer, die nach diesen Programmen suchen, dazu, einen Trojaner herunterzuladen, der dann die betrügerischen Browsererweiterungen installiert.
Die beschädigten, digital signierten Installationsprogramme richten eine geplante Aufgabe ein, die ein PowerShell-Skript auslöst. Dieses Skript ist für das Herunterladen und Ausführen der Payload der nächsten Stufe von einem Remote-Server verantwortlich.
Angreifer installieren neue Browser auf den infizierten Geräten
Dabei wird die Windows-Registrierung geändert, um das Einfügen von Erweiterungen aus dem Chrome Web Store und Microsoft Edge-Add-ons zu erzwingen, die Suchanfragen bei Google und Microsoft Bing kapern und über von den Angreifern kontrollierte Server umleiten können.
Die Erweiterung ist so konzipiert, dass sie nicht gelöscht werden kann, selbst wenn der Entwicklermodus aktiviert ist. Neuere Versionen des Skripts deaktivieren auch Browser-Updates. Darüber hinaus stellt es eine lokale Erweiterung bereit, die direkt von einem Command-and-Control-Server (C2) heruntergeladen wird und über umfassende Funktionen verfügt, um alle Webanforderungen abzufangen, an den Server weiterzuleiten, Befehle und verschlüsselte Skripte auszuführen und Skripte in jede Webseite einzufügen.
Darüber hinaus kapert der Schädling Suchanfragen von Ask.com, Bing und Google, leitet sie über seine Server um und gibt sie dann an andere Suchmaschinen weiter.
Betroffene Benutzer sollten Maßnahmen ergreifen
Von dem Malware-Angriff betroffene Benutzer sollten die folgenden Schritte unternehmen, um das Problem einzudämmen:
- Löschen Sie die geplante Aufgabe, die die Malware täglich reaktiviert.
- Entfernen Sie die entsprechenden Registrierungsschlüssel.
- Löschen Sie die folgenden Dateien und Ordner aus dem System:
C:\Windows\system32\Privacyblockerwindows.ps1
C:\Windows\system32\Windowsupdater1.ps1
C:\Windows\system32\WindowsUpdater1Script.ps1
C:\Windows\system32\Optimizerwindows.ps1
C:\Windows\system32\Printworkflowservice.ps1
C:\Windows\system32\NvWinSearchOptimizer.ps1 (Version 2024)
C:\Windows\system32\kondserp_optimizer.ps1 (Version Mai 2024)
C:\Windows\InternalKernelGrid
C:\Windows\InternalKernelGrid3
C:\Windows\InternalKernelGrid4
C:\Windows\ShellServiceLog
C:\windows\privacyprotectorlog
C:\Windows\NvOptimizerLog
Diese Art von Angriff ist nicht beispiellos. Im Dezember 2023 wurde eine ähnliche Kampagne gemeldet, bei der ein Trojaner-Installationsprogramm über Torrents verbreitet wurde. Dieses Installationsprogramm war als VPN-App getarnt, sollte aber tatsächlich einen „Cashback-Aktivitäts-Hack“ ausführen.
