Extension Trojan Malware
Une campagne de malware à grande échelle a été détectée. Elle cible les utilisateurs en installant des extensions frauduleuses pour Google Chrome et Microsoft Edge via un cheval de Troie distribué via de faux sites Web se faisant passer pour des logiciels populaires. Le cheval de Troie déploie toute une gamme de charges utiles, des extensions publicitaires de base qui détournent les recherches aux scripts dangereux plus avancés qui installent des extensions locales conçues pour récolter des données personnelles et exécuter diverses commandes. Ce cheval de Troie, actif depuis 2021, provient de sites Web de téléchargement contrefaits proposant des modules complémentaires pour des jeux et des vidéos en ligne.
Table des matières
Des centaines de milliers d’utilisateurs concernés
Le malware et ses extensions associées ont impacté plus de 300 000 utilisateurs sur Google Chrome et Microsoft Edge, démontrant la nature généralisée de la menace.
Au cœur de cette campagne se trouve l'utilisation de publicités malveillantes pour rediriger les utilisateurs vers des sites Web trompeurs qui imitent des logiciels bien connus comme Roblox FPS Unlocker, YouTube, VLC media player, Steam ou KeePass. Ces sites incitent les utilisateurs à la recherche de ces programmes à télécharger un cheval de Troie, qui installe ensuite les extensions de navigateur frauduleuses.
Les programmes d'installation corrompus, signés numériquement, configurent une tâche planifiée qui déclenche un script PowerShell. Ce script est chargé de télécharger et d'exécuter la charge utile de l'étape suivante à partir d'un serveur distant.
Les attaquants installent de nouveaux navigateurs sur les appareils compromis
Cela implique de modifier le registre Windows pour forcer l'insertion d'extensions du Chrome Web Store et des modules complémentaires Microsoft Edge, qui peuvent détourner les requêtes de recherche sur Google et Microsoft Bing, les redirigeant via des serveurs contrôlés par les attaquants.
L'extension est conçue pour être indélébile, même avec le mode développeur activé. Les versions récentes du script désactivent également les mises à jour du navigateur. De plus, il déploie une extension locale téléchargée directement depuis un serveur de commande et de contrôle (C2), dotée de capacités étendues pour intercepter toutes les requêtes Web, les relayer vers le serveur, exécuter des commandes et des scripts chiffrés et injecter des scripts dans chaque page Web.
De plus, il détourne les requêtes de recherche d'Ask.com, Bing et Google, les redirigeant via ses serveurs avant de les transmettre à d'autres moteurs de recherche.
Les utilisateurs concernés doivent prendre des mesures
Les utilisateurs touchés par l'attaque du logiciel malveillant doivent prendre les mesures suivantes pour atténuer le problème :
- Supprimez la tâche planifiée qui réactive quotidiennement le malware.
- Supprimez les clés de registre concernées.
- Supprimez les fichiers et dossiers suivants du système :
C:\Windows\system32\Privacyblockerwindows.ps1
C:\Windows\system32\Windowsupdater1.ps1
C:\Windows\system32\WindowsUpdater1Script.ps1
C:\Windows\system32\Optimizerwindows.ps1
C:\Windows\system32\Printworkflowservice.ps1
C:\Windows\system32\NvWinSearchOptimizer.ps1 (version 2024)
C:\Windows\system32\kondserp_optimizer.ps1 (version de mai 2024)
C:\Windows\InternalKernelGrid
C:\Windows\InternalKernelGrid3
C:\Windows\InternalKernelGrid4
C:\Windows\ShellServiceLog
C:\windows\privacyprotectorlog
C:\Windows\NvOptimizerLog
Ce type d'attaque n'est pas sans précédent. En décembre 2023, une campagne similaire a été signalée, impliquant un installateur de cheval de Troie distribué via des torrents. Cet installateur était déguisé en application VPN mais était en fait conçu pour exécuter un « piratage d'activité de cashback ».
