ReasonLabs-ın təhlükəsizlik tədqiqatçıları son nöqtələrdə zərərli brauzer genişləndirmələrini zorla quraşdıran yeni geniş yayılmış, davam edən polimorfik zərərli proqram kampaniyası aşkar ediblər.
Qlobal miqyasda yayılan quraşdırıcı və genişləndirmələr Google Chrome və Microsoft Edge-də ən azı 300.000 istifadəçiyə təsir göstərərək, əsas səhifələri oğurlamaq və baxış tarixçəsini oğurlamaq üçün brauzerin icra sənədlərini dəyişdirdi.
Adətən antivirus alətləri tərəfindən aşkar edilməyən troyan zərərli proqramı, axtarışları öz üzərinə götürən sadə reklam proqramlarının uzantılarından tutmuş şəxsi məlumatları oğurlamaq və yoluxmuş cihazlarda müxtəlif əmrləri yerinə yetirmək üçün yerli genişləndirmələr təqdim edən daha mürəkkəb zərərli skriptlərə qədər müxtəlif nəticələrə malikdir.
2021-ci ildən bu troyan zərərli proqramı onlayn oyunlar və videolar üçün yükləmələr və əlavələr təmin edən imitasiya saytlarından yaranıb.
Zərərli proqram necə işləyir
ReasonLabs bildirib ki, yoluxma qurbanların Google Axtarış nəticələrində yanlış reklamla satılan saxta veb-saytlar vasitəsilə proqram quraşdırıcılarını endirməsi ilə başlayır. Reklamçılar Roblox FPS Unlocker, YouTube, VLC Media Player və ya KeePass kimi yükləmə saytlarının imitasiyasından istifadə edirlər. Bu saxta veb-saytlardan endirilən icra sənədləri hətta nəzərdə tutulan proqramı quraşdırmağa cəhd etmir, əksinə troyanları yerləşdirir.
“İstifadəçi proqramı oxşar vebsaytdan endirdikdən sonra proqram Updater_PrivacyBlocker_PR1, MicrosoftWindowsOptimizerUpdateTask_PR1 və NvOptimizerTaskUpdater_Labs kimi PowerShell skript faylı adının nümunəsini izləyən təxəllüsdən istifadə edərək planlaşdırılmış tapşırığı qeydə alır”, – deyə tədqiqatçılar bildirir.
“O, oxşar görünüşlü “-C Faylı:/Windows/System32/NvWinSearchOptimizer.ps1” ilə PowerShell skriptini işlətmək üçün konfiqurasiya edilib”. PowerShell skripti uzaq serverdən faydalı yük yükləyir və onu maşında icra edir.”
PowerShell skripti C2-dən birbaşa yaddaşa ikinci mərhələ skripti çağıran system32 qovluğuna yazılır. PowerShell skripti nəhayət icra edildikdə, zərərli genişləndirmələrin quraşdırılmasını məcbur etmək üçün qeyd defteri dəyərləri əlavə edir. Bu genişləndirmələr axtarış sorğularını oğurlayır və onları rəqibin axtarışı vasitəsilə yönləndirir, hətta Developer Rejimi “ON” olduqda belə onları aşkar edilə bilməz edir.
Skript daha sonra Chrome və Edge reyestr açarlarını dəyişdirərək zərərli genişləndirmələri quraşdırır və adi brauzer parametrləri vasitəsilə onları söndürməyi daha da çətinləşdirir. Genişləndiricilər bir sıra zərərli fəaliyyətlər həyata keçirir, o cümlədən məlum axtarış motorlarından axtarışları oğurlayır və Yahoo və ya Bing kimi qanuni axtarış sistemlərinin nəticələrini nəhayət göstərməzdən əvvəl onları təcavüzkar tərəfindən idarə olunan domenlər vasitəsilə yönləndirir.
ReasonLabs bildirir ki, troyanın ən son iterasiyaları brauzerin əsas səhifəsini təhlükə aktyorunun nəzarəti altında olan birinə çəkmək üçün Google Chrome və Microsoft Edge tərəfindən istifadə edilən əsas brauzer DLL fayllarını dəyişdirir, məsələn https://microsearch[.]mən/.
“Bu skriptin məqsədi brauzerlərin DLL-lərini tapmaqdır (əgər Edge standartdırsa msedge.dll) və onun daxilindəki xüsusi yerlərdə xüsusi baytları dəyişdirməkdir” ReasonLabs izah edir.
“Bununla, skript Bing və ya Google-dan düşmənin axtarış portalına defolt axtarışını oğurlamağa imkan verir. O, brauzerin hansı versiyasının quraşdırıldığını yoxlayır və müvafiq olaraq baytları axtarır”.
ReasonLabs Araşdırma Qrupu pozuntu aşkar etdikdən sonra dərhal Google və Microsoft-u xəbərdar etdi. Microsoft bütün müəyyən edilmiş zərərli genişləndirmələri Edge Add-ons Mağazasından silsə də, bəzi əlaqəli genişləndirmələr hələ də Google Chrome Veb Mağazasında mövcuddur.
Eyni zamanda, istifadəçilərə yalnız etibarlı mənbələrdən genişləndirmələri yükləmək, naməlum veb-saytlardan proqram yükləməkdə ehtiyatlı olmaq və antivirus proqramlarını yeni saxlamaq tövsiyə olunur.
