Yeni Kötü Amaçlı Yazılım, Rogue Chrome ve Edge Uzantılarıyla 300.000 Kullanıcıya Ulaştı
Devam eden, yaygın bir kötü amaçlı yazılım kampanyasının, popüler yazılım gibi görünen sahte web siteleri aracılığıyla dağıtılan bir truva atı aracılığıyla sahte Google Chrome ve Microsoft Edge uzantılarını yüklediği gözlemlendi.
ReasonLabs araştırma ekibi bir analizde, "Truva atı kötü amaçlı yazılımı, aramaları ele geçiren basit reklam yazılımı uzantılarından, özel verileri çalmak ve çeşitli komutları yürütmek için yerel uzantılar sunan daha karmaşık kötü amaçlı komut dosyalarına kadar farklı çıktılar içeriyor" dedi.
"2021'den beri var olan bu truva atı kötü amaçlı yazılımı, çevrimiçi oyunlara ve videolara eklentiler içeren indirme web sitelerinin taklitlerinden kaynaklanıyor."
Kötü amaçlı yazılım ve uzantılar, en az 300.000 Google Chrome ve Microsoft Edge kullanıcısının birleşik erişimine sahiptir ve bu da etkinliğin geniş bir etkiye sahip olduğunu gösterir.
Kampanyanın merkezinde, Roblox FPS Unlocker, YouTube, VLC media player, Steam veya KeePass gibi bilinen yazılımları tanıtan benzer web sitelerini, bu programları arayan kullanıcıları bir truva atı indirmeleri için kandırmak için kötü amaçlı reklamcılığın kullanılması yer alıyor.
Dijital olarak imzalanmış kötü amaçlı yükleyiciler, sırayla, uzak bir sunucudan getirilen sonraki aşama yükünü indirmekten ve yürütmekten sorumlu bir PowerShell betiğini yürütmek üzere yapılandırılmış zamanlanmış bir görevi kaydeder.
Bu, Google ve Microsoft Bing'deki arama sorgularını ele geçirebilen ve bunları saldırgan tarafından kontrol edilen sunucular aracılığıyla yönlendirebilen Chrome Web Mağazası ve Microsoft Edge Eklentilerinden uzantıların yüklenmesini zorlamak için Windows Kayıt Defteri'ni değiştirmeyi içerir.
ReasonLabs, "Uzantı, Geliştirici Modu 'AÇIK' olsa bile kullanıcı tarafından devre dışı bırakılamaz" dedi. "Komut dosyasının daha yeni sürümleri tarayıcı güncellemelerini kaldırıyor."
Ayrıca, doğrudan bir komut ve kontrol (C2) sunucusundan indirilen yerel bir uzantı başlatır ve tüm web isteklerini engellemek ve sunucuya göndermek, komutları ve şifreli komut dosyalarını almak ve komut dosyalarını tüm sayfalara enjekte etmek ve yüklemek için kapsamlı yeteneklerle birlikte gelir.
Bunun da ötesinde, Ask.com, Bing ve Google'dan gelen arama sorgularını ele geçirir ve bunları sunucuları üzerinden ve ardından diğer arama motorlarına yönlendirir.
Kötü amaçlı yazılım saldırısından etkilenen kullanıcıların, kötü amaçlı yazılımı her gün yeniden etkinleştiren zamanlanmış görevi silmeleri, Kayıt Defteri anahtarlarını kaldırmaları ve aşağıdaki dosya ve klasörleri sistemden silmeleri önerilir -
- C:\Windows\system32\Privacyblockerwindows.ps1
- C:\Windows\system32\Windowsupdater1.ps1
- C:\Windows\system32\WindowsUpdater1Script.ps1
- C:\Windows\system32\Optimizerwindows.ps1
- C:\Windows\system32\Printworkflowservice.ps1
- C:\Windows\system32\NvWinSearchOptimizer.ps1 - 2024 sürümü
- C:\Windows\system32\kondserp_optimizer.ps1 - Mayıs 2024 sürümü
- C:\Windows\InternalKernelGrid
- C:\Windows\InternalKernelGrid3
- C:\Windows\InternalKernelGrid4
- C:\Windows\ShellServiceLog
- C:\windows\privacyprotectorlog
- C:\Windows\NvOptimizerLog
Bu, vahşi doğada benzer kampanyaların ilk kez gözlemlenmesi değil. Aralık 2023'te siber güvenlik şirketi, VPN uygulamaları gibi görünen ancak aslında bir "geri ödeme etkinliği hilesi" çalıştırmak için tasarlanmış kötü amaçlı web uzantıları yükleyen torrentler aracılığıyla sunulan başka bir truva atı yükleyicisini ayrıntılı olarak açıkladı.
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı