Патчащий DLL вредонос установил Chrome-аддоны на 300 тыс. устройств

В новой кампании киберпреступники устанавливают вредоносные расширения Google Chrome и Microsoft Edge. С их помощью атакующие модифицируют исполняемые файлы браузера, подменяют стартовую страницу и вытаскивают историю посещений веб-страниц.

По оценке исследователей из ReasonLabs, кампания распространилась более чем на 300 тысяч браузеров.

Фигурирующие в атаках установщик и сам аддон редко детектируются антивирусами. Их задача — стащить данные и выполнить команды на целевых устройствах.

Как отметили специалисты ReasonLabs, жертвы кампании сначала скачивали установщики софта с фейковых сайтов, которые продвигались в поисковой выдаче Google в качестве рекламы.

Для привлечения внимания злоумышленники использовали следующие имена «программ»: Roblox FPS Unlocker, TikTok Video Downloader, загрузчик с YouTube, видеоплеер VLC, Dolphin Emulator, и менеджере паролей KeePass.

Загружаемые инсталляшки подписаны «Tommy Tech LTD» и каждая из них успешно проходит проверку на VirusTotal.

Тем не менее заявленную функциональность установочные файлы не реализуют, загружая вместо этого PowerShell-скрипт в директорию C:\Windows\System32\PrintWorkflowService.ps1. Последний скачивает с удаленного сервера пейлоад и запускает его на устройстве жертвы.

Этот же скрипт вносит изменения в реестр Windows с целью принудительно установить вредоносные расширения из Chrome Web Store и Microsoft Edge. Созданная задача позволяет скрипту PowerShell запускаться через определенные интервалы.

Вредонос устанавливает множество расширений для Google Chrome и Microsoft Edge, задача которых — перехватывать поисковые запросы жертвы, изменять домашнюю страницу, перенаправлять запросы через вредоносные серверы и извлекать историю посещения веб-страниц.

ReasonLabs приводит следующие аддоны для Google Chrome, связанные с этой кампанией:

• Custom Search Bar – больше 40 тысяч пользователей;
• yglSearch – больше 40 тысяч пользователей;
• Qcom search bar – больше 40 тысяч пользователей;
• Qtr Search – больше 6 тысяч пользователей;
• Micro Search Chrome Extension – больше 180 тысяч пользователей (удалено из магазина);
• Active Search Bar – больше 20 тысяч пользователей (удалено из магазина);
• Your Search Bar – больше 40 тысяч пользователей (удалено из магазина);
• Safe Search Eng – больше 35 тысяч пользователей (удалено из магазина);
• Lax Search – больше 600 пользователей (удалено из магазина).

Что касается расширений для Edge, фигурируют следующие аддоны:

• Simple New Tab – более 100 тыс. пользователей (уже удалено из магазина);
• Cleaner New Tab – более 2 тыс. пользователей (уже удалено из магазина);
• NewTab Wonders – более 7 тыс. пользователей (уже удалено из магазина);
• SearchNukes – более 1 тыс. пользователей (уже удалено из магазина);
• EXYZ Search – более 1 тыс. пользователей (уже удалено из магазина);
• Wonders Tab – более 6 тыс. пользователей (уже удалено из магазина).

Интересно также, что зловред может модифицировать DLL браузеров. Эта функциональность позволяет ему менять стартовую страницу на https://microsearch[.]me/.