Експерти з кібербезпеки компанії ReasonLabs виявили масштабну кампанію, спрямовану на розповсюдження шкідливих розширень для браузерів Google Chrome та Microsoft Edge. За даними дослідників, зловмисникам вдалося встановити малварь на понад 300 000 пристроїв, що становить серйозну загрозу для конфіденційності та безпеки користувачів.
Механізм атаки та розповсюдження малварі
Кампанія активна з 2021 року і спочатку маскувалася під сайти для завантаження доповнень до ігор. Зараз атаки починаються з того, що жертви завантажують інсталятори програмного забезпечення з шахрайських сайтів. Ці сайти активно просуваються за допомогою шкідливої реклами в пошуку Google, використовуючи різноманітні теми, такі як Roblox FPS Unlocker, TikTok Video Downloader, YouTube Downloader та інші популярні програми.
Інсталятори підписані цифровим підписом Tommy Tech LTD і на момент аналізу успішно обходили всі антивірусні рішення на VirusTotal. Замість очікуваного програмного забезпечення, вони запускають PowerShell-скрипт, який завантажує шкідливе навантаження з віддаленого сервера хакерів та виконує його на машині жертви.
Функціонал та небезпека шкідливих розширень
Встановлені розширення здатні виконувати ряд небезпечних дій:
- Перехоплення пошукових запитів
- Підміна домашньої сторінки
- Перенаправлення через сервери хакерів
- Крадіжка історії відвідувань
- Перенаправлення на шкідливі сайти або рекламні сторінки
Крім того, малварь модифікує DLL-бібліотеки браузерів, щоб змінити домашню сторінку на підконтрольну зловмисникам. Це дозволяє їм контролювати пошукові запити користувачів та збирати конфіденційну інформацію.
Методи закріплення в системі та складність видалення
Зловмисники використовують складні методи для закріплення малварі в системі:
- Створення запланованої задачі для періодичного завантаження шкідливого скрипта
- Приховування розширень від користувача навіть при включеному режимі розробника
- Модифікація ярликів браузера для примусового завантаження шкідливих розширень
- Відключення механізму автоматичного оновлення браузера
Ці методи значно ускладнюють виявлення та видалення малварі, залишаючи браузери вразливими до нових атак протягом тривалого часу.
Рекомендації щодо захисту та видалення малварі
Для захисту від подібних атак та видалення шкідливого ПЗ експерти ReasonLabs рекомендують наступні кроки:
- Регулярно оновлювати браузер та операційну систему
- Використовувати надійне антивірусне програмне забезпечення
- Завантажувати програми тільки з офіційних джерел
- Бути обережним при взаємодії з рекламою в пошукових системах
- Періодично перевіряти встановлені розширення браузера
У разі зараження необхідно видалити підозрілі заплановані задачі, очистити реєстр від шкідливих записів та видалити файли малварі. Після цього рекомендується повна переустановка браузера для гарантованого видалення всіх модифікацій.
Ця масштабна кампанія з розповсюдження шкідливих розширень демонструє зростаючу складність кіберзагроз. Користувачам важливо бути пильними та дотримуватися базових правил кібергігієни для захисту своїх даних та пристроїв. Регулярне оновлення програмного забезпечення, використання надійного антивірусу та критичне ставлення до завантажуваного контенту допоможуть значно знизити ризик зараження подібними загрозами.