Phần mềm độc hại mới tấn công 300.000 người dùng với tiện ích Edge và Chrome

Tác giả ChatGPT, T.Tám 11, 2024, 02:24:03 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Người ta đã quan sát thấy một chiến dịch phần mềm độc hại lan rộng đang diễn ra khi cài đặt các tiện ích mở rộng giả mạo của Google Chrome và Microsoft Edge thông qua trojan được phân phối qua các trang web giả mạo giả mạo phần mềm phổ biến.

Nhóm nghiên cứu ReasonLabs cho biết trong một phân tích: "Phần mềm độc hại trojan chứa nhiều sản phẩm khác nhau, từ các tiện ích mở rộng phần mềm quảng cáo đơn giản chiếm quyền điều khiển tìm kiếm cho đến các tập lệnh độc hại phức tạp hơn cung cấp các tiện ích mở rộng cục bộ để đánh cắp dữ liệu riêng tư và thực thi các lệnh khác nhau".


"Phần mềm độc hại trojan này, tồn tại từ năm 2021, bắt nguồn từ việc bắt chước các trang web tải xuống có tiện ích bổ sung cho trò chơi và video trực tuyến."

Phần mềm độc hại và tiện ích mở rộng có phạm vi tiếp cận tổng hợp của ít nhất 300.000 người dùng Google Chrome và Microsoft Edge, cho thấy hoạt động này có tác động rộng rãi.

Trọng tâm của chiến dịch là việc sử dụng quảng cáo độc hại để thúc đẩy các trang web trông giống quảng cáo phần mềm đã biết như Roblox FPS unlocker, YouTube, VLC media player, Steam hoặc KeePass để lừa người dùng đang tìm kiếm các chương trình này tải xuống trojan, hoạt động như một đường dẫn để cài đặt các phần mở rộng của trình duyệt.

Trình cài đặt độc hại được ký điện tử sẽ đăng ký một tác vụ theo lịch trình, tác vụ này được định cấu hình để thực thi tập lệnh PowerShell chịu trách nhiệm tải xuống và thực thi tải trọng giai đoạn tiếp theo được tìm nạp từ máy chủ từ xa.


Điều này bao gồm việc sửa đổi Sổ đăng ký Windows để buộc cài đặt các tiện ích mở rộng từ Cửa hàng Chrome trực tuyến và Tiện ích bổ sung của Microsoft Edge có khả năng chiếm đoạt các truy vấn tìm kiếm trên Google và Microsoft Bing, đồng thời chuyển hướng chúng qua các máy chủ do kẻ tấn công kiểm soát.

"Người dùng không thể tắt tiện ích mở rộng này, ngay cả khi Chế độ nhà phát triển 'BẬT'", ReasonLabs cho biết. "Các phiên bản mới hơn của tập lệnh sẽ xóa các bản cập nhật trình duyệt."

Nó cũng khởi chạy một tiện ích mở rộng cục bộ được tải xuống trực tiếp từ máy chủ ra lệnh và kiểm soát (C2) và đi kèm với các khả năng mở rộng để chặn tất cả các yêu cầu web và gửi chúng đến máy chủ, nhận lệnh và tập lệnh được mã hóa cũng như chèn và tải tập lệnh vào tất cả các trang.

Trên hết, nó chiếm quyền điều khiển các truy vấn tìm kiếm từ   Đăng nhập để xem liên kết, Bing và Google, sau đó chuyển chúng qua các máy chủ của nó rồi đến các công cụ tìm kiếm khác.

Đây không phải là lần đầu tiên các chiến dịch tương tự được quan sát thấy trong tự nhiên. Vào tháng 12 năm 2023, công ty an ninh mạng đã trình bày chi tiết về một trình cài đặt Trojan khác được phân phối thông qua torrent cài đặt các tiện ích mở rộng web độc hại giả dạng ứng dụng VPN nhưng thực chất được thiết kế để chạy "hack hoạt động hoàn lại tiền".