Hakeri koriste zlonamjerna proširenja ili ekstenzije preglednika kako bi zarazili Google Chrome i Microsoft Edge opasnim zlonamjernim softverom, koji može ukrasti osobne podatke korisnika i izložiti vaše računalo riziku od daljnjih napada.
Prema izvještaju The Hacker News, ovaj nedavno otkriveni plan širenja zlonamjernog softvera aktivna je od 2021. godine i do sada je najmanje 300.000 korisnika Chromea i Edgea zaraženo novim štetnim programom.
Ono što ovaj malware čini posebno opasnim jest činjenica da ga je vrlo teško obrisati jednom kada zarazi neko računalo. To znači da čak i ako izbrišete zlonamjerno proširenje, zlonamjerni softver će se ponovno aktivirati sljedeći put kada ponovno pokrenete računalo.
U nastavku slijedi sve o ovoj kampanji zlonamjernog softvera, uz savjete što je ono što vi kao korisnik možete učiniti kako biste se zaštitili od ove prijetnje.
Lažne internetske stranice i lažno oglašavanje
Kao i druge kampanje širenja zlonamjernog softvera, ova koristi zlonamjerno oglašavanje kako bi navela korisnike koji ništa ne sumnjaju na preuzimanje i instaliranje rizičnog programa, u ovom slučaju proširenja.
Hakeri koji stoje iza svega ovoga stvorili su internetske stranice, koje su slične i oponašaju autentične stranice i usluge, kao što su Roblox FPS Unlocker, YouTube, VLC media player, Steam ili Keepass.
Dok potencijalne žrtve misle kako instaliraju legitiman softver ili proširenja, one zapravo preuzimaju trojanca, koji instalira zlonamjerna proširenja koja koristi ovaj zlonamjerni softver.
Digitalno potpisani zlonamjerni instalacijski programi korišteni u ovoj kampanji registriraju planirani zadatak na ranjivim računalima, koji zatim izvršava PowerShell skriptu, koja preuzima i isporučuje zlonamjerni kod s udaljenog poslužitelja kojim upravljaju hakeri.
Kao dio svoje sljedeće faze, zlonamjerni softver modificira direktorij registra unutar Windowsa zaraženog računala, kako bi prisilio instalaciju Chrome i Edge ekstenzija koje se koriste za prijevaru s oglasima hakiranjem u pretraživanja na Googleu i Bingu, nakon čega ih preusmjerava preko hakerskih poslužitelja.
Da stvar bude gora, novije verzije ovog zlonamjernog softvera mogu čak spriječiti instaliranje ažuriranja preglednika, čime izlažu žrtve riziku od drugih napada.
Kako se obraniti od ovakvih napada?
U objavi na blogu s detaljima otkrića svojih h istraživača, ReasonLabs pruža daljnji uvid u to kako ispravno ukloniti ovaj zlonamjerni softver i zlonamjerna proširenja, koja se koriste kako bi se naštetilo računalima korisnika.
Kao prvo, ono što treba učiniti jest uklanjanje zakazanog zadatka s računala. To možete učiniti na sljedeći način: potrebno je kliknuti na izbornik Start i nakon toga potražite Task Scheduler.
Nakon što se otvori Task Scheduler, trebate kliknuti na biblioteku planera zadataka kako bi se prikazali svi zadaci na vašem računalu. Iako se naziv zadatka koji koristi ovaj zlonamjerni softver razlikuje, možete ga identificirati ako kliknete na zadatke, ako ih i zatim kliknete na ”Actions”.
U tablici ispod radnji možete pogledati njihove pojedinosti, a ovdje želite potražiti put do “c:\windows\system32” i PowerShell skriptu ili datoteku koja završava s “.ps1”. ReasonLabs napominje da će naziv zadatka često biti sličan nazivu PowerShell skripte. Nakon što pronađete zlonamjerni zadatak, desnom tipkom miša kliknite na njego naziv, a zatim kliknite na Izbriši.
Primjer:
- C:\Windows\system32\Privacyblockerwindows.ps1
- C:\Windows\system32\Windowsupdater1.ps1
- C:\Windows\system32\WindowsUpdater1Script.ps1
- C:\Windows\system32\Optimizerwindows.ps1
- C:\Windows\system32\Printworkflowservice.ps1
- C:\Windows\system32\NvWinSearchOptimizer.ps1 – 2024 version
- C:\Windows\system32\kondserp_optimizer.ps1 – May 2024 version
- C:\Windows\InternalKernelGrid
- C:\Windows\InternalKernelGrid3
- C:\Windows\InternalKernelGrid4
- C:\Windows\ShellServiceLog
- C:\windows\privacyprotectorlog
- C:\Windows\NvOptimizerLog
Nakon toga trebate ukloniti ključeve registra koji nameću zlonamjerna proširenja u vašem pregledniku. Ovo je malo kompliciranije, ali uređivač registra možete otvoriti na isti način kao što ste to učinili s planerom zadataka ili ”Task Scheduler” alatom.
Nakon što ste otvorili uređivač registra, trebate otići na sljedeću lokaciju:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist.
Ovdje u desnom kutu bit će popis ekstenzija s numeričkom vrijednošću kao “Ime” i ID-om ekstenzije kao “Podaci”. Zatim desnom tipkom miša kliknite na ime, a zatim kliknite Izbriši. To također morate učiniti za sljedeći ključ registra:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Google\Chrome\ExtensionInstallForcelist.
Budući da ovaj zlonamjerni softver utječe i na Chrome i na Edge, morat ćete ponoviti isti postupak za Edge proširenja. Idite na sljedeće:
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge\ExtensionInstallForcelist.
Iako biste mogli sami izbrisati datoteke zlonamjernog softvera, puno vam je bolje koristiti jedno od najboljih antivirusnih softverskih rješenja, koje će to učiniti umjesto vas. Ako to ipak želite učiniti ručno, upute možete pronaći na kraju objave bloga ReasonLabs.
Prolazak kroz postupak uklanjanja ovakvih zlonamjernih proširenja i zlonamjernog softvera, koja se nalaze na vašem računalu, vjerojatno će biti više nego dovoljan razlog kako biste dva puta razmislili prije preuzimanja proširenja ili programa sa nepouzdanih izvora.
Najbolja mjesta odakle možete preuzeti proširenja, za koja možete biti sigurni da neće imati nikakve štetne kodove u sebi su Chromeova i Edge Trgovina proširenja.
Ivan Hečimović
