Специалисты по кибербезопасности из компании ReasonLabs раскрыли масштабную вредоносную кампанию, нацеленную на пользователей популярных браузеров Google Chrome и Microsoft Edge. Злоумышленники успешно распространили вредоносные расширения, которые были установлены более 300 000 раз, представляя серьезную угрозу для конфиденциальности и безопасности пользователей.
Механизм распространения и внедрения вредоносного ПО
Кампания, активная с 2021 года, использует сложную схему распространения вредоносного ПО. Изначально злоумышленники маскировали свои атаки под сайты для загрузки игровых дополнений. Однако со временем тактика изменилась, и теперь атаки начинаются с загрузки пользователями установщиков программного обеспечения с фишинговых сайтов. Эти сайты активно продвигаются через вредоносную рекламу в поисковой выдаче Google.
Особую опасность представляет тот факт, что инсталляторы подписаны цифровой подписью Tommy Tech LTD, что позволяет им успешно обходить большинство антивирусных решений. Вместо заявленного ПО, эти установщики запускают PowerShell-скрипт, который загружает и выполняет вредоносную нагрузку с удаленного сервера злоумышленников.
Функционал и последствия заражения
Вредоносное ПО устанавливает множество расширений для Chrome и Edge, которые обладают широким спектром вредоносных возможностей:
- Перехват поисковых запросов
- Подмена домашней страницы браузера
- Кража истории посещений
- Перенаправление пользователей на вредоносные сайты
- Потенциальный перехват учетных данных и другой конфиденциальной информации
Кроме того, малварь модифицирует системные файлы и реестр Windows, чтобы закрепиться в системе и препятствовать обнаружению. Особенно опасным является изменение DLL-библиотек браузеров, что позволяет злоумышленникам контролировать поисковые запросы пользователей.
Сложности обнаружения и удаления
Вредоносное ПО использует продвинутые техники для сокрытия своего присутствия в системе. Оно скрывает установленные расширения от пользователя даже при включенном режиме разработчика в браузере. Кроме того, малварь отключает механизм автоматического обновления браузера, чтобы предотвратить установку патчей безопасности.
Удаление этой угрозы представляет значительные трудности и может потребовать полной переустановки браузера. Эксперты ReasonLabs рекомендуют многоступенчатый процесс очистки системы, включающий удаление вредоносных задач из планировщика Windows, очистку реестра и удаление модифицированных файлов.
Рекомендации по защите
Для минимизации риска заражения подобными угрозами рекомендуется:
- Загружать программное обеспечение только с официальных сайтов разработчиков
- Использовать надежное антивирусное ПО и регулярно обновлять его
- Проявлять осторожность при установке браузерных расширений, даже из официальных магазинов
- Регулярно проверять установленные расширения и удалять неиспользуемые
- Следить за обновлениями браузера и своевременно их устанавливать
Данная кампания демонстрирует растущую сложность и изощренность современных киберугроз. Пользователям необходимо проявлять повышенную бдительность и следовать лучшим практикам кибербезопасности для защиты своих данных и устройств. Регулярное обновление программного обеспечения, использование надежных средств защиты и критический подход к загрузке и установке программ помогут значительно снизить риск заражения подобными вредоносными программами.