Siber güvenlik araştırmacıları, hassas verileri çalmak için web tarayıcılarını ele geçiren yeni bir kötü niyetli saldırı tespit etti.
ReasonLabs tarafından hazırlanan bir raporda, Roblox FPS Unlocker, YouTube, VLC media player, Steam veya KeePass gibi sahte yazılımları ücretsiz olarak sunan web siteleri oluşturarak kampanyanın şimdiye kadar yaklaşık 300.000 Google Chrome ve Microsoft Edge kullanıcısını nasıl etkilediği özetlendi.
Bu web sitelerine giden ve sahte yazılımı indiren kurbanlar, bunun yerine 2021'den beri ortalıkta olan bir truva atı içeren yazılıma sahip oluyor. Ardından kötü amaçlı yazılım, arama motorlarını ve daha fazlasını ele geçiren eklentiler ve uzantılar yüklüyor.
Otomatik Güncelleştirmeyi İptal Ediyor
Araştırmacılar, "Truva atı yazılımı, arama sonuçlarını ele geçiren basit reklam yazılımı uzantılarından, özel verileri çalmak ve çeşitli komutları yürütmek için yerel uzantılar sunan daha karmaşık kötü amaçlı komut dosyalarına kadar farklı çıktılar içeriyor" demektedir. "2021'den beri var olan bu truva atı yazılım, çevrimiçi oyunlara ve videolara eklentiler içeren indirme web sitelerinin taklitlerinden kaynaklanıyor."
Bazı durumlarda, uzantılar tarayıcının varsayılan arama motorunu, muhtemelen tehdit aktörlerinin reklam sunumundan yararlanabileceği veya daha zararlı kötü amaçlı yazılımları dağıtabilecekleri farklı bir arama motoruyla değiştirir. Araştırmacılar ayrıca eklentileri kaldırmanın biraz zor olduğunu da ekledi.
ReasonLabs, "Geliştirici Modu 'AÇIK' olsa bile uzantı kullanıcı tarafından devre dışı bırakılamıyor," diyor. "Komut dosyasının daha yeni sürümleri tarayıcı güncellemelerini iptal ediyor."
The Hacker News, kötü amaçlı yazılımı kaldırmak için kullanıcıların kötü amaçlı yazılımı yeniden etkinleştiren zamanlanmış görevleri silmeleri, Kayıt Defteri girdilerini kaldırmaları ve bu dosya ve klasörleri silmeleri gerektiğini bildiriyor:
C:\Windows\system32\Privacyblockerwindows.ps1
C:\Windows\system32\Windowsupdater1.ps1
C:\Windows\system32\WindowsUpdater1Script.ps1
C:\Windows\system32\Optimizerwindows.ps1
C:\Windows\system32\Printworkflowservice.ps1
C:\Windows\system32\NvWinSearchOptimizer.ps1 - 2024 sürümü
C:\Windows\system32\kondserp_optimizer.ps1 - Mayıs 2024 sürümü
C:\Windows\InternalKernelGrid
C:\Windows\InternalKernelGrid3
C:\Windows\InternalKernelGrid4
C:\Windows\ShellServiceLog
C:\windows\gizlilikkoruyucu günlüğü
C:\Windows\NvOptimizerLog