Các nhà nghiên cứu bảo mật tại ReasonLabs đã phát hiện ra một chiến dịch phần mềm độc hại đa hình mới đang diễn ra và lan rộng, tự động cài đặt tiện ích mở rộng độc hại trên trình duyệt tại các điểm cuối.
Trình cài đặt và tiện ích mở rộng đang phát tán trên toàn cầu đã ảnh hưởng đến ít nhất 300.000 người dùng trên Google Chrome và Microsoft Edge, sửa đổi các tệp thực thi của trình duyệt để chiếm quyền điều khiển trang chủ và đánh cắp lịch sử duyệt web.
Phần mềm độc hại trojan, thường không bị các công cụ diệt vi-rút phát hiện, chứa nhiều thành phần khác nhau, từ các tiện ích mở rộng phần mềm quảng cáo đơn giản chiếm quyền tìm kiếm cho đến các tập lệnh độc hại phức tạp hơn cung cấp các tiện ích mở rộng cục bộ để đánh cắp dữ liệu riêng tư và thực hiện nhiều lệnh khác nhau trên các thiết bị bị nhiễm.
Từ năm 2021, phần mềm độc hại trojan này có nguồn gốc từ các trang web giả mạo cung cấp các bản tải xuống và tiện ích bổ sung cho trò chơi và video trực tuyến.
Phần mềm độc hại hoạt động như thế nào
ReasonLabs cho biết sự lây nhiễm bắt đầu bằng việc nạn nhân tải xuống trình cài đặt phần mềm thông qua các trang web giả mạo được tiếp thị bằng quảng cáo độc hại trong kết quả Tìm kiếm của Google. Các nhà quảng cáo sử dụng các bản sao của các trang web tải xuống như Roblox FPS Unlocker, YouTube, VLC Media Player hoặc KeePass. Các tệp thực thi được tải xuống từ các trang web giả mạo này thậm chí không cố gắng cài đặt phần mềm dự định mà thay vào đó triển khai trojan.
Các nhà nghiên cứu của ReasonLabs cho biết: “Khi người dùng tải chương trình từ trang web tương tự, chương trình sẽ đăng ký một tác vụ theo lịch trình bằng cách sử dụng một bút danh theo mẫu tên tệp tập lệnh PowerShell, chẳng hạn như Updater_PrivacyBlocker_PR1, MicrosoftWindowsOptimizerUpdateTask_PR1 và NvOptimizerTaskUpdater_V2”.
“Nó được cấu hình để chạy một tập lệnh PowerShell có tên tương tự “-File C:/Windows/System32/NvWinSearchOptimizer.ps1″. Tập lệnh PowerShell tải xuống một tải trọng từ máy chủ từ xa và thực thi nó trên máy.”
Tập lệnh PowerShell được ghi vào thư mục system32, tập lệnh này sẽ gọi tập lệnh giai đoạn thứ hai từ C2 trực tiếp vào bộ nhớ. Khi tập lệnh PowerShell cuối cùng được thực thi, nó sẽ thêm các giá trị sổ đăng ký để buộc cài đặt các tiện ích mở rộng độc hại. Các tiện ích mở rộng này đánh cắp các truy vấn tìm kiếm và chuyển hướng chúng qua tìm kiếm của đối thủ, khiến chúng không thể phát hiện được ngay cả khi Chế độ nhà phát triển 'BẬT'.
Sau đó, tập lệnh cài đặt tiện ích mở rộng độc hại bằng cách sửa đổi khóa đăng ký Chrome và Edge, khiến việc vô hiệu hóa chúng thậm chí còn khó khăn hơn thông qua cài đặt trình duyệt thông thường. Các tiện ích mở rộng thực hiện một số hoạt động độc hại, bao gồm chiếm đoạt các tìm kiếm từ các công cụ tìm kiếm đã biết và chuyển hướng chúng qua các miền do kẻ tấn công kiểm soát trước khi cuối cùng hiển thị kết quả từ các công cụ tìm kiếm hợp pháp như Yahoo hoặc Bing.
ReasonLabs báo cáo rằng các phiên bản gần đây nhất của Trojan sửa đổi các tệp DLL của trình duyệt cốt lõi được Google Chrome và Microsoft Edge sử dụng để nắm bắt trang chủ của trình duyệt thành trang nằm dưới sự kiểm soát của tác nhân đe dọa, chẳng hạn như https://microsearch[.]Tôi/.
ReasonLabs giải thích: “Mục đích của tập lệnh này là xác định vị trí các DLL của trình duyệt (msedge.dll nếu Edge là trình duyệt mặc định) và thay đổi các byte cụ thể ở các vị trí cụ thể bên trong đó”.
“Làm như vậy cho phép tập lệnh chiếm đoạt tìm kiếm mặc định từ Bing hoặc Google đến cổng tìm kiếm của đối thủ. Nó kiểm tra phiên bản trình duyệt nào được cài đặt và tìm kiếm các byte cho phù hợp.”
Nhóm nghiên cứu ReasonLabs đã nhanh chóng cảnh báo Google và Microsoft khi phát hiện ra vi phạm. Mặc dù Microsoft đã xóa tất cả các tiện ích mở rộng độc hại đã xác định khỏi Cửa hàng tiện ích bổ sung Edge, một số tiện ích mở rộng liên quan vẫn tồn tại trên Cửa hàng web Google Chrome.
Trong khi đó, người dùng được khuyên chỉ tải tiện ích mở rộng từ các nguồn đáng tin cậy, thận trọng khi tải phần mềm từ các trang web không xác định và luôn cập nhật phần mềm diệt vi-rút.