Siber Muhbir

ReasonLabs araştırma ekibi bir analizde, "Truva atı kötü amaçlı yazılımı, aramaları ele geçiren basit reklam yazılımı uzantılarından, özel verileri çalmak ve çeşitli komutları yürütmek için yerel uzantılar sunan daha karmaşık kötü amaçlı komut dosyalarına kadar farklı çıktılar içeriyor" dedi.

"2021'den beri var olan bu truva atı kötü amaçlı yazılımı, çevrimiçi oyunlara ve videolara eklentiler içeren indirme web sitelerinin taklitlerinden kaynaklanıyor."

Kötü amaçlı yazılım ve uzantılar, en az 300.000 Google Chrome ve Microsoft Edge kullanıcısının birleşik erişimine sahiptir ve bu da etkinliğin geniş bir etkiye sahip olduğunu gösterir.

Kampanyanın merkezinde, Roblox FPS Unlocker, YouTube, VLC media player, Steam veya KeePass gibi bilinen yazılımları tanıtan benzer web sitelerini, bu programları arayan kullanıcıları bir truva atı indirmeleri için kandırmak için kötü amaçlı reklamcılığın kullanılması yer alıyor.

Dijital olarak imzalanmış kötü amaçlı yükleyiciler, sırayla, uzak bir sunucudan getirilen sonraki aşama yükünü indirmekten ve yürütmekten sorumlu bir PowerShell betiğini yürütmek üzere yapılandırılmış zamanlanmış bir görevi kaydeder.

Bu, Google ve Microsoft Bing'deki arama sorgularını ele geçirebilen ve bunları saldırgan tarafından kontrol edilen sunucular aracılığıyla yönlendirebilen Chrome Web Mağazası ve Microsoft Edge Eklentilerinden uzantıların yüklenmesini zorlamak için Windows Kayıt Defteri'ni değiştirmeyi içerir.

ReasonLabs, "Uzantı, Geliştirici Modu 'AÇIK' olsa bile kullanıcı tarafından devre dışı bırakılamaz" dedi. "Komut dosyasının daha yeni sürümleri tarayıcı güncellemelerini kaldırıyor."

Ayrıca, doğrudan bir komut ve kontrol (C2) sunucusundan indirilen yerel bir uzantı başlatır ve tüm web isteklerini engellemek ve sunucuya göndermek, komutları ve şifreli komut dosyalarını almak ve komut dosyalarını tüm sayfalara enjekte etmek ve yüklemek için kapsamlı yeteneklerle birlikte gelir.

Bunun da ötesinde, Ask.com, Bing ve Google'dan gelen arama sorgularını ele geçirir ve bunları sunucuları üzerinden ve ardından diğer arama motorlarına yönlendirir.

Kötü amaçlı yazılım saldırısından etkilenen kullanıcıların, kötü amaçlı yazılımı her gün yeniden etkinleştiren zamanlanmış görevi silmeleri, Kayıt Defteri anahtarlarını kaldırmaları ve aşağıdaki dosya ve klasörleri sistemden silmeleri önerilir -

• C:\Windows\system32\Privacyblockerwindows.ps1
• C:\Windows\system32\Windowsupdater1.ps1
• C:\Windows\system32\WindowsUpdater1Script.ps1
• C:\Windows\system32\Optimizerwindows.ps1
• C:\Windows\system32\Printworkflowservice.ps1
• C:\Windows\system32\NvWinSearchOptimizer.ps1 - 2024 sürümü
• C:\Windows\system32\kondserp_optimizer.ps1 - Mayıs 2024 sürümü
• C:\Windows\InternalKernelGrid
• C:\Windows\InternalKernelGrid3
• C:\Windows\InternalKernelGrid4
• C:\Windows\ShellServiceLog
• C:\windows\privacyprotectorlog
• C:\Windows\NvOptimizerLog

Bu, vahşi doğada benzer kampanyaların ilk kez gözlemlenmesi değil. Aralık 2023'te siber güvenlik şirketi, VPN uygulamaları gibi görünen ancak aslında bir "geri ödeme etkinliği hilesi" çalıştırmak için tasarlanmış kötü amaçlı web uzantıları yükleyen torrentler aracılığıyla sunulan başka bir truva atı yükleyicisini ayrıntılı olarak açıkladı.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.