Yaygın bir kötü amaçlı yazılım kampanyasının, popüler yazılım gibi görünen sahte web siteleri üzerinden dağıtılan bir trojan aracılığıyla sahte Google Chrome ve Microsoft Edge uzantıları yüklediği gözlemlendi.
ReasonLabs araştırma ekibi, “Truva atı kötü amaçlı yazılımı, aramaları ele geçiren basit reklam yazılımı uzantılarından, özel verileri çalmak ve çeşitli komutları yürütmek için yerel uzantılar sunan daha karmaşık kötü amaçlı komut dosyalarına kadar çeşitli çıktılar içeriyor” dedi. söz konusu Bir analizde.
“2021 yılından beri varlığını sürdüren bu trojan zararlı yazılımı, çevrimiçi oyunlara ve videolara eklentiler içeren indirme sitelerinin taklitlerinden kaynaklanıyor.”
Kötü amaçlı yazılım ve uzantıların toplam erişimi en az 300.000 Google Chrome ve Microsoft Edge kullanıcısına ulaşmış durumda; bu da etkinliğin geniş bir etki alanına sahip olduğunu gösteriyor.
Kampanyanın merkezinde, Roblox FPS Unlocker, YouTube, VLC medya oynatıcısı, Steam veya KeePass gibi bilinen yazılımları tanıtan benzer web sitelerini kötü amaçlı reklamlarla kandırmak ve bu programları arayan kullanıcıları tarayıcı uzantılarını yüklemek için bir kanal görevi gören bir trojan indirmeye kandırmak yer alıyor.
Dijital olarak imzalanmış kötü amaçlı yükleyiciler, uzak bir sunucudan getirilen bir sonraki aşama yükünü indirmek ve yürütmekten sorumlu bir PowerShell betiğini yürütmek üzere yapılandırılmış zamanlanmış bir görevi kaydeder.
Buna, Google ve Microsoft Bing’deki arama sorgularını ele geçirip saldırganların kontrolündeki sunucular üzerinden yönlendirebilen Chrome Web Mağazası ve Microsoft Edge Eklentileri’nden gelen uzantıların yüklenmesini zorlamak için Windows Kayıt Defteri’ni değiştirmek de dahildir.
ReasonLabs, “Geliştirici Modu ‘AÇIK’ olsa bile, uzantı kullanıcı tarafından devre dışı bırakılamaz,” dedi. “Komut dosyasının daha yeni sürümleri tarayıcı güncellemelerini kaldırır.”
Ayrıca, doğrudan bir komuta ve kontrol (C2) sunucusundan indirilen yerel bir uzantıyı başlatır ve tüm web isteklerini yakalayıp sunucuya göndermek, komutları ve şifrelenmiş komut dosyalarını almak ve tüm sayfalara komut dosyaları enjekte etmek ve yüklemek için kapsamlı yeteneklerle birlikte gelir.
Üstelik Ask.com, Bing ve Google’dan gelen arama sorgularını ele geçirip kendi sunucuları üzerinden diğer arama motorlarına yönlendiriyor.
Benzer kampanyaların vahşi doğada gözlemlenmesi ilk kez olmuyor. Aralık 2023’te siber güvenlik şirketi ayrıntılı torrentler aracılığıyla yüklenen ve VPN uygulamaları gibi görünen ancak aslında “geri ödeme etkinliği saldırısı” yapmak üzere tasarlanmış kötü amaçlı web uzantıları yükleyen bir başka Truva atı yükleyicisi.