ReasonLabs’daki güvenlik araştırmacıları, uç noktalara kötü amaçlı tarayıcı uzantılarını zorla yükleyen yeni ve yaygın bir polimorfik kötü amaçlı yazılım kampanyası keşfetti.
Dünya çapında yayılan yükleyici ve uzantılar, Google Chrome ve Microsoft Edge genelinde en az 300.000 kullanıcıyı etkileyerek, tarayıcının yürütülebilir dosyalarını değiştirerek ana sayfaları ele geçiriyor ve tarama geçmişini çalıyor.
Antivirüs araçları tarafından genellikle tespit edilemeyen trojan kötü amaçlı yazılımı, aramaları ele geçiren basit reklam yazılımı uzantılarından, özel verileri çalmak ve enfekte olmuş cihazlarda çeşitli komutlar yürütmek için yerel uzantılar sunan daha karmaşık kötü amaçlı betiklere kadar farklı çıktılar içeriyor.
Bu trojan zararlı yazılımı, 2021 yılından bu yana çevrimiçi oyunlar ve videolar için indirmeler ve eklentiler sağlayan taklit web sitelerinden kaynaklanmaktadır.
Kötü Amaçlı Yazılım Nasıl Çalışır?
ReasonLabs, enfeksiyonun kurbanların Google Arama sonuçlarında kötü amaçlı reklamlarla pazarlanan sahte web siteleri aracılığıyla yazılım yükleyicilerini indirmesiyle başladığını söyledi. Reklam verenler, Roblox FPS Unlocker, YouTube, VLC Media Player veya KeePass gibi indirme sitelerinin taklitlerini kullanıyor. Bu sahte web sitelerinden indirilen yürütülebilir dosyalar, amaçlanan yazılımı yüklemeye bile çalışmıyor, bunun yerine trojanlar dağıtıyor.
ReasonLabs araştırmacıları, “Bir kullanıcı programı benzer web sitesinden indirdiğinde, program, Updater_PrivacyBlocker_PR1, MicrosoftWindowsOptimizerUpdateTask_PR1 ve NvOptimizerTaskUpdater_V2 gibi bir PowerShell betik dosyası adının düzenini izleyen bir takma ad kullanarak zamanlanmış bir görevi kaydeder” diyor.
“Benzer görünümlü bir isme sahip bir PowerShell betiğini çalıştırmak üzere yapılandırılmıştır “-File C:/Windows/System32/NvWinSearchOptimizer.ps1″. PowerShell betiği uzak bir sunucudan bir yük indirir ve bunu makinede yürütür.”
PowerShell betiği, C2’den doğrudan belleğe ikinci aşama betiğini çağıran system32 klasörüne yazılır. PowerShell betiği sonunda yürütüldüğünde, kötü amaçlı uzantıların kurulumunu zorlamak için kayıt defteri değerleri ekler. Bu uzantılar arama sorgularını çalar ve bunları saldırganın araması aracılığıyla yeniden yönlendirir, böylece Geliştirici Modu ‘AÇIK’ olsa bile tespit edilemez hale gelirler.
Komut dosyası daha sonra Chrome ve Edge kayıt defteri anahtarlarını değiştirerek kötü amaçlı uzantılar yükler ve bunları normal tarayıcı ayarlarıyla devre dışı bırakmayı daha da zorlaştırır. Uzantılar, bilinen arama motorlarından aramaları ele geçirmek ve saldırgan tarafından kontrol edilen etki alanları üzerinden yönlendirmek ve sonunda Yahoo veya Bing gibi meşru arama motorlarından sonuçlar göstermek dahil olmak üzere çeşitli kötü amaçlı etkinlikler gerçekleştirir.
ReasonLabs, Truva atının en son yinelemelerinin, Google Chrome ve Microsoft Edge tarafından kullanılan temel tarayıcı DLL dosyalarını değiştirerek tarayıcının ana sayfasını tehdit aktörünün kontrolündeki bir sayfaya dönüştürdüğünü bildiriyor. https://mikroarama[.]Ben/.
ReasonLabs, “Bu betiğin amacı, tarayıcıların DLL’lerini (varsayılan Edge ise msedge.dll) bulmak ve içindeki belirli konumlardaki belirli baytları değiştirmektir” şeklinde açıklıyor.
“Bunu yapmak, betiğin varsayılan aramayı Bing veya Google’dan saldırganın arama portalına kaçırmasına olanak tanır. Tarayıcının hangi sürümünün yüklü olduğunu kontrol eder ve baytları buna göre arar.”
ReasonLabs Araştırma Ekibi, ihlali keşfettikten sonra derhal Google ve Microsoft’u uyardı. Microsoft, tespit edilen tüm kötü amaçlı uzantıları Edge Eklentileri Mağazasından kaldırmış olsa da, bazı ilgili uzantılar Google Chrome Web Mağazasında hala yaşıyor.
Bu arada, kullanıcıların eklentileri yalnızca güvenilir kaynaklardan indirmeleri, bilinmeyen web sitelerinden yazılım indirme konusunda dikkatli olmaları ve antivirüs yazılımlarını güncel tutmaları öneriliyor.
