新たなマルウェアが30万人に悪意のあるChromeおよびEdge拡張機能を感染させる
進行中の広範なマルウェアキャンペーンが、人気のソフトウェアを装った偽のウェブサイトを介してトロイの木馬を配信し、悪意のあるGoogle ChromeおよびMicrosoft Edge拡張機能をインストールする様子が観察されています。
ReasonLabsの研究チームは分析の中で、「このトロイの木馬マルウェアは、検索をハイジャックする単純なアドウェア拡張機能から、プライベートデータを盗み出し、さまざまなコマンドを実行するためのローカル拡張機能を配信するより高度な悪意のあるスクリプトまで、さまざまな配信物を含んでいます」と述べています。
「2021年以来存在するこのトロイの木馬マルウェアは、オンラインゲームや動画のアドオンを持つダウンロードウェブサイトの模倣から発生しています。」このマルウェアと拡張機能は、Google ChromeおよびMicrosoft Edgeのユーザーの少なくとも30万人に影響を与えており、この活動が広範な影響を及ぼしていることを示しています。
キャンペーンの中心には、Roblox FPS Unlocker、YouTube、VLCメディアプレーヤー、Steam、KeePassなどの既知のソフトウェアを宣伝する似たようなウェブサイトを推進するマルバタイジング(Malvertising)の使用があります。これにより、これらのプログラムを探しているユーザーがトロイの木馬をダウンロードするように仕向けられ、そのトロイの木馬がブラウザ拡張機能をインストールするための導管となります。
デジタル署名された悪意のあるインストーラーは、スケジュールされたタスクを登録し、それが次の段階のペイロードをリモートサーバーからダウンロードして実行するためのPowerShellスクリプトを実行するように設定されています。これには、GoogleおよびMicrosoft Bingでの検索クエリをハイジャックし、攻撃者が制御するサーバーを介してリダイレクトすることができるChrome Web StoreおよびMicrosoft Edge Add-onsからの拡張機能の強制インストールを行うためにWindowsレジストリを変更することが含まれます。
ReasonLabsは「ユーザーは、開発者モードを’ON’にしても、拡張機能を無効にすることができません」と述べています。「スクリプトの新しいバージョンは、ブラウザの更新を削除します。」また、コマンドアンドコントロール(C2)サーバーから直接ダウンロードされるローカル拡張機能を起動し、すべてのウェブリクエストを傍受してサーバーに送信し、コマンドや暗号化されたスクリプトを受信し、すべてのページにスクリプトを注入および読み込む広範な機能を備えています。
さらに、それはAsk.com、Bing、Googleからの検索クエリをハイジャックし、それらを自社のサーバーを通じて他の検索エンジンに送信します。
マルウェア攻撃の影響を受けたユーザーには、マルウェアを毎日再活性化するスケジュールされたタスクを削除し、レジストリキーを削除し、以下のファイルとフォルダーをシステムから削除することが推奨されています –
- C:\Windows\system32\Privacyblockerwindows.ps1
- C:\Windows\system32\Windowsupdater1.ps1
- C:\Windows\system32\WindowsUpdater1Script.ps1
- C:\Windows\system32\Optimizerwindows.ps1
- C:\Windows\system32\Printworkflowservice.ps1
- C:\Windows\system32\NvWinSearchOptimizer.ps1 – 2024バージョン
- C:\Windows\system32\kondserp_optimizer.ps1 – 2024年5月バージョン
- C:\Windows\InternalKernelGrid
- C:\Windows\InternalKernelGrid3
- C:\Windows\InternalKernelGrid4
- C:\Windows\ShellServiceLog
- C:\windows\privacyprotectorlog
- C:\Windows\NvOptimizerLog
これは、同様のキャンペーンが野外で観察されるのは初めてではありません。2023年12月、サイバーセキュリティ会社は、VPNアプリを装った悪意のあるウェブ拡張機能をインストールするトロイの木馬インストーラーがトレントを介して配信される様子を詳細に説明しましたが、それは実際には「キャッシュバック活動ハック」を実行するために設計されています。