Beveiligingsonderzoekers van ReasonLabs hebben een nieuwe, wijdverbreide, aanhoudende polymorfe malwarecampagne ontdekt die op geforceerde wijze schadelijke browserextensies op eindpunten installeert.
Het installatieprogramma en de extensies, die zich wereldwijd verspreiden, hebben invloed gehad op ten minste 300.000 gebruikers in Google Chrome en Microsoft Edge. Ze hebben de uitvoerbare bestanden van de browser gewijzigd om startpagina’s te kapen en de browsegeschiedenis te stelen.
De trojan-malware, die doorgaans onopgemerkt blijft door antivirusprogramma’s, bevat verschillende onderdelen, van eenvoudige adware-extensies die zoekopdrachten overnemen tot complexere kwaadaardige scripts die lokale extensies leveren om privégegevens te stelen en verschillende opdrachten uit te voeren op geïnfecteerde apparaten.
Sinds 2021 is deze trojan-malware afkomstig van namaakwebsites die downloads en add-ons voor online games en video’s aanbieden.
Hoe werkt de malware?
ReasonLabs zei dat de infectie begint met de slachtoffers die software-installatieprogramma’s downloaden via nepwebsites die worden verkocht door malvertising in Google-zoekresultaten. De adverteerders gebruiken imitaties van downloadsites zoals Roblox FPS Unlocker, YouTube, VLC Media Player of KeePass. De uitvoerbare bestanden die van deze nepwebsites worden gedownload, proberen niet eens de bedoelde software te installeren, maar implementeren in plaats daarvan trojans.
“Zodra een gebruiker het programma downloadt van de gelijknamige website, registreert het programma een geplande taak met behulp van een pseudoniem dat het patroon volgt van een PowerShell-scriptbestandsnaam, zoals Updater_PrivacyBlocker_PR1, MicrosoftWindowsOptimizerUpdateTask_PR1 en NvOptimizerTaskUpdater_V2”, zeggen onderzoekers van ReasonLabs.
“Het is geconfigureerd om een PowerShell-script uit te voeren met een vergelijkbare naam “-File C:/Windows/System32/NvWinSearchOptimizer.ps1″. Het PowerShell-script downloadt een payload van een externe server en voert deze uit op de machine.”
Het PowerShell-script wordt naar de system32-map geschreven, die een tweede-fase-script van de C2 rechtstreeks naar het geheugen aanroept. Wanneer het PowerShell-script uiteindelijk wordt uitgevoerd, voegt het registerwaarden toe om de installatie van schadelijke extensies af te dwingen. Deze extensies stelen zoekopdrachten en leiden deze om via de zoekopdracht van de tegenstander, waardoor ze niet te detecteren zijn, zelfs niet met de ontwikkelaarsmodus ‘AAN’.
Het script installeert vervolgens schadelijke extensies door Chrome- en Edge-registersleutels te wijzigen, waardoor het nog lastiger wordt om ze uit te schakelen via normale browserinstellingen. De extensies voeren verschillende schadelijke activiteiten uit, waaronder het kapen van zoekopdrachten van bekende zoekmachines en het omleiden ervan via door aanvallers gecontroleerde domeinen, voordat ze uiteindelijk resultaten van legitieme zoekmachines zoals Yahoo of Bing tonen.
ReasonLabs meldt dat de meest recente versies van de Trojan de belangrijkste DLL-bestanden van de browser wijzigen die door Google Chrome en Microsoft Edge worden gebruikt om de startpagina van de browser te kopiëren naar een startpagina die onder controle staat van de kwaadwillende actor, zoals https://microsearch[.]mij/.
“Het doel van dit script is om de DLL’s van de browsers te lokaliseren (msedge.dll als Edge de standaardbrowser is) en om specifieke bytes op specifieke locaties daarin te wijzigen”, legt ReasonLabs uit.
“Hierdoor kan het script de standaardzoekopdracht van Bing of Google kapen naar de zoekportal van de tegenstander. Het controleert welke versie van de browser is geïnstalleerd en doorzoekt de bytes dienovereenkomstig.”
Het ReasonLabs Research Team waarschuwde Google en Microsoft onmiddellijk toen ze de inbreuk ontdekten. Hoewel Microsoft alle geïdentificeerde kwaadaardige extensies uit zijn Edge Add-ons Store heeft verwijderd, staan sommige betrokken extensies nog steeds in de Google Chrome Web Store.
Gebruikers wordt geadviseerd om extensies alleen te downloaden van vertrouwde bronnen, voorzichtig te zijn met het downloaden van software van onbekende websites en hun antivirussoftware up-to-date te houden.