Araştırmacılar, kullanıcıları kaldırılması zor kötü amaçlı Chrome ve Edge tarayıcı uzantılarıyla yükleyen kötü amaçlı bir yükleyicinin yer aldığı yaygın bir kampanyayı tespit etti.
Reason Labs araştırma ekibi, “Truva atı kötü amaçlı yazılımı, aramaları ele geçiren basit reklam yazılımı uzantılarından, özel verileri çalmak ve çeşitli komutları yürütmek için yerel uzantılar sunan daha karmaşık kötü amaçlı komut dosyalarına kadar çeşitli çıktılar içeriyor” diyor.
“Kötü amaçlı yazılımların ve uzantıların çok geniş bir şekilde dağıtıldığına tanık olduk; toplamda Google Chrome ve Microsoft Edge genelinde en az 300.000 kullanıcı etkilendi.”
Enfeksiyon
Bu kampanyanın arkasındaki tehdit aktörleri, VLC veya KeePass gibi popüler yazılımları indirmeye sunan sahte web siteleri kuruyor, ancak indirilen yükleyici, kullanıcının istediği programı yüklemeye bile çalışmıyor.
Bunun yerine, program çalıştırıldığında, bir PowerShell betiğini indiren zamanlanmış bir görevi kaydeder ve bu betik uzak bir sunucudan bir yükü indirir ve bunu bellekte yürütür.
Komut dosyası, Chrome Web Mağazası ve Edge Eklentileri sayfasından uzantıların yüklenmesini zorlamak için kayıt defteri anahtarları ekliyor ve bunlar tarayıcının uzantı yönetimi sayfasında görünmediği için kullanıcılar tarafından devre dışı bırakılamıyor; geliştirici modu etkinleştirilmiş olsa bile.
Araştırmacılar, “Komut dosyası, tarayıcıların tüm güncellemelerini devre dışı bırakmaya devam ediyor çünkü her güncelleme sırasında varsayılan ayarlar geri yükleniyor ve bu, kötü amaçlı yazılımın aktivitesine müdahale ediyor” dedi.
Komut dosyası ayrıca tarayıcının varsayılan aramasını (Bing veya Google) ele geçiren ve onu saldırganın arama portalına yönlendiren yerel bir uzantıyı (“Google Güncelleyici”) da indirir.
Kötü amaçlı yazılımlar ve zararlı uzantılar nasıl kaldırılır?
Araştırma ekibi, “Yazım sırasında çoğu AV motoru yükleyiciyi ve uzantıları algılamıyor,” diyor. “Yükleyici Tommy Tech LTD tarafından imzalandı. Aynı imzalayan tarafından imzalanan diğer yükleyiciler 2021’den beri var.”
Kötü amaçlı Chrome uzantılarının adlarında genellikle “Arama” bulunur (örneğin, “Özel Arama Çubuğu”, “Arama Çubuğunuz”, vb.). Edge uzantılarının adlarında “Arama” veya “Sekme” bulunur (örneğin, “Basit Yeni Sekme”, “Yeni Sekme Harikaları”, “EXYZ Arama”, vb.). Bunların çoğu artık Google ve Microsoft tarafından kendi mağazalarından kaldırıldı.
Mağazadaki kötü amaçlı Simple New Tab uzantısı (Kaynak: Reason Labs)
Araştırmacılar, her iki tarayıcıyı kullanan en az 300.000 kullanıcının etkilendiğini ve bazılarının kötü amaçlı eklentileri kaldırmanın bir yolunu bulamadıklarından dolayı çevrimiçi olarak şikayette bulunduğunu tahmin ediyor.
Araştırmacılar, tehlikenin varlığını gösteren kapsamlı bir gösterge listesi paylaştı ve tehlikenin ortadan kaldırılması sürecini özetledi.
“Bu kötü amaçlı yazılımı başarıyla kaldırmanın tek yolu, kalıcılık mekanizmalarının ortadan kalktığından emin olmaktır” diye belirten araştırmacılar, bunun da zamanlanmış görevi, kayıt defteri anahtarlarını kaldırmak ve kötü amaçlı yazılım dosyalarını silmek anlamına geldiğini belirtti.