Nový malvér zasiahol viac ako 300 000 používateľov prehliadačov Chrome a Microsoft Edge. Situácia je vážna
Bezpečnostní experti odhalili trójskeho koňa, ktorý do prehliadačov nasilu inštaluje škodlivé rozšírenia.
Rozšírenia sa stali neoddeliteľnou súčasťou väčšiny internetových prehliadačov. Či používaš Google Chrome alebo Microsoft Edge, v obchode s rozšíreniami vieš nájsť stovky tisícov rôznych rozšírení, ktoré prinesú do tvojho prehliadača nové funkcie.
Bezpečnostní analytici z Reason Labs zároveň poukazujú na to, že s rastúcou popularitou rozšírení, sa začali čoraz častejšie objavovať také, ktoré sú škodlivé. V tomto ohľade sa analytikom podarilo identifikovať novú polymorfnú malvérovú kampaň, ktorá na zariadenie obete nasilu inštaluje nové škodlivé rozšírenia.
Tieto rozšírenia môžu prichádzať vo forme jednoduchého advéru, alebo inak reklamného malvéru. Keď hovoríme o reklamnom malvéri, častokrát hovoríme, že nejde o “až tak” nebezpečný softvér. Jeho podstatou je, že zariadenie obete zaplaví reklamami. Tie môžu vo väčšine prípadov do zariadenia stiahnuť ďalší malvér, ak na ne užívateľ omylom klikne.
Okrem jednoduchého advéru však môžu kyberzločinci nainštalovať aj agresívnejšie škodlivé rozšírenia, ktoré kradnú osobné dáta alebo spúšťajú ďalšie škodlivé príkazy. Nová malvérová kampaň existuje už od roku 2021 a skladá s z trójskeho koňa, ktorý sa vydáva za modifikácie populárnych online hier.
Bezpečnostní experti upozorňujú, že momentálne väčšina antivírového softvéru nedokáže odhaliť trójskeho koňa ani škodlivé rozšírenia, ktoré sa cez neho inštalujú. Na internete sa pritom objavuje množstvo sťažností užívateľov, ktorí sa stretli s podvodným rozšírením, ktoré nedokážu z prehliadača odinštalovať. Užívatelia vysvetľujú, že tieto škodlivé rozšírenia sa objavili z ničoho nič a po odinštalovaní sa opakovane vracali do prehliadača.
Neprehliadni
Bezpečnostní analytici momentálne kontaktovali Google a Microsoft. Spoločnosti už vykonávajú potrebné kroky na zamedzenie šíriacej sa hrozby.
Ako sa malvér šíri?
Výskumníci zistili, že kyberzločinci vytvorili falošné stránky pre niekoľko rôznych aplikácií, ako Roblox FPS Unlocker, YouTube, VLC Media Player alebo KeePass a tieto stránky stiahnu do zariadenia užívateľov trójskeho koňa. Tento malvér inštaluje do prehliadačov obetí škodlivé rozšírenia.
Keď užívateľ stiahne program z falošnej stránky, tento program vytvorí proces, ktorý spustí PowerShell skript a ten sťahuje škodlivé súbory zo vzdialeného servera a spúšťa ich na zariadení obete. Inštalačný súbor trójskeho koňa je registrovaný pod “Tommy Tech LTD”. Bezpečnostní analytici konštatujú, že podobne registrované inštalačné súbory sú v obehu minimálne od roku 2021.
Väčšina inštalačných krokov nie je antivírovými programami identifikovaná ako škodlivá. Rovnako antivírové programy nedetegujú relatívne novú C2 doménu útočníkov ako škodlivú.
Keď sa malvér dostane do zariadenia obete, na hackerský server pošle unikátne užívateľské ID obete. Následne dostane trójsky kôň príkaz o tom, kde uložiť stiahnuté súbory, aké škodlivé súbory stiahnuť a aké škodlivé rozšírenia nainštalovať. Keď infekcia prebehne úspešne, malvér zároveň vypne všetky automatické aktualizácie prehliadačov. Každá aktualizácia totiž obnovuje predvolené nastavenia, čo sa bije s činnosťou malvéru.
Rozšírenia môžeš nájsť aj v obchode Chrome a Edge
Škodlivé rozšírenia sú dostupné aj v obchode s rozšíreniami pre Chrome. Ide vo väčšine prípadov o vlastné vyhľadávače. Až donedávna si mohli užívatelia stiahnuť Micro Search Chrome Extension a ako ukazujú štatistiky, toto podvodné rozšírenie si stiahlo viac ako 30-tisíc užívateľov. Momentálne stále v obchode s rozšíreniami môžeš nájsť falošné rozšírenie yglSearch. To má viac ako 40-tisíc stiahnutí.
Čo sa týka prehliadača Microsoft Edge, tam sa môžeš stretnúť s falošným rozšírením Simple New Tab. To má viac ako 100-tisíc stiahnutí. Pri všetkých falošných rozšíreniach je aj niekoľko nahnevaných recenzií od užívateľov, ktorí sa rozšírenia nedokázali zbaviť. Zaujímavosťou je, že ak sa pokúsi užívateľ stiahnuť rozšírenie Simple New Tab z obchodu Edge, prehliadač inštaláciu zablokuje. Bezpečnostní experti sa ale domnievajú, že ak sa nainštaluje rozšírenie nasilu, ako je to v prípade trójskeho koňa, táto správa sa nezobrazí.
Celkovo takto hackeri infikovali viac ako 300-tisíc zariadení, hovoria výskumníci. Ide tak o pomerne masívnu kampaň podvodníkov.
Komentáre