Заразный софт
Около 300 тыс. пользователей стали жертвами широкомасштабной кампании, в ходе которой им устанавливались вредоносные расширения к браузерам Chrome и Edge.
Как пишут исследователи компании ReasonLabs, распространение этих расширений осуществляет троянец, а сами расширения могут оказываться как сравнительно безобидным, но назойливым adware, перехватывающим поисковые запросы, так и скриптами, угрожающими персональным и финансовым данным.
Операторы кампании наплодили множество поддельных сайтов, предлагающих скачать популярные программы, в том числе Roblox FPS Unlocker, VLC media player, KeePass, клиенты YouTube и Steam. На деле жертвы загружают вредонос. Что характерно, его инсталляторы снабжены цифровыми подписями.
После установки троянец формирует отложенное системное задание, которое запускает скрипт PowerShell. Тот, в свою очередь, производит скачивание с удаленного сервера и запуск вредоносной нагрузки следующего этапа. Судя по всему, это целая плеяда скриптов, которые осуществляют разные операции, в том числе – изменение системного реестра Windows, установку расширений из Chrome Web Store и набора Microsoft Edge Add-ons – перехватывающих, в частности, поисковые запросы в Google и Microsoft Bing и перенаправляющих их через серверы, контролируемые злоумышленниками.
Злоумышленники удостоверились, чтобы пользователи не имели возможности удалить вредоносные расширения даже в режиме Developer Mode. Самые свежие версии скриптов блокируют и обновления браузеров.
Троянец также может устанавливать локальное расширение, которое скачивается напрямую с контрольного сервера. Это расширение может перехватывать все сетевые запросы и перенаправлять их на сервер злоумышленников, а также получать дополнительные команды, скачивать зашифрованные скрипты и встраивать их в любые веб-страницы.
«Ключевой способ профилактики подобных атак – не пытаться устанавливать общераспространенные программы из нетипичных источников, – говорит Михаил Зайцев, эксперт по информационной безопасности компании SEQ. – Существуют стандартные, простые и эффективные способы проверки веб-сайтов, и нужно лишь совсем немного времени, чтобы удостовериться, что искомое ПО скачивается с официального ресурса, а не подделки».
Устранение проблемы
Пользователям, столкнувшимся с проблемой, рекомендуется найти и устранить задачу в системном Планировщике задач, которая перезапускает вредонос раз в сутки.
Задача выглядит так:
C:\Windows\system32\cmd.exe /d /s /c “SCHTASKS /Create /TN
“NvOptimizerTaskUpdater_V2” /SC HOURLY /TR “powershell -File
C:/Windows/System32/NvWinSearchOptimizer.ps1” /RL HIGHEST /MO 4 /RU System /ST 07:27”
Необходимо также удалить связанные с вредоносом системные ключи.
Ключи располагаются в разделах системного реестра
Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist; Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Google\Chrome\ExtensionInstallForcelist и Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge\ExtensionInstallForcelist.
Во всех случаях в правой части окна будет список расширений с числами в панели названий (Name) и значением ExtensioID в панели данных (Data). Их необходимо удалить все до одного. Наконец, необходимо ликвидировать следующие каталоги и файлы:
C:\Windows\system32\Privacyblockerwindows.ps1
C:\Windows\system32\Windowsupdater1.ps1
C:\Windows\system32\WindowsUpdater1Script.ps1
C:\Windows\system32\Optimizerwindows.ps1
C:\Windows\system32\Printworkflowservice.ps1
C:\Windows\system32\NvWinSearchOptimizer.ps1 - 2024 version
C:\Windows\system32\kondserp_optimizer.ps1 - May 2024 version
C:\Windows\InternalKernelGrid
C:\Windows\InternalKernelGrid3
C:\Windows\InternalKernelGrid4
C:\Windows\ShellServiceLog
C:\windows\privacyprotectorlog
C:\Windows\NvOptimizerLog
Эксперты ReasonLabs отмечают, что этот тип угроз является сравнительно новым, и что разработчикам защитных инструментов следует обратить на него самое пристальное внимание.