حملة مستمرة وواسعة النطاق من البرامج الضارة تقوم بتثبيت ملحقات متصفح Google Chrome وMicrosoft Edge الضارة في أكثر من 300000 متصفح، وتعديل الملفات القابلة للتنفيذ للمتصفح لاختطاف الصفحات الرئيسية وسرقة محفوظات التصفح.
تم تصميم برامج التثبيت والإضافات، والتي عادةً لا يتم اكتشافها بواسطة أدوات مكافحة الفيروسات، لسرقة البيانات وتنفيذ الأوامر على الأجهزة المصابة.
تم اكتشاف الحملة من قبل الباحثين في ريزن لابس الذين يحذرون من أن الجهات الفاعلة التي تهدد هذه البرامج الخبيثة تستخدم موضوعات إعلانية متنوعة لتحقيق العدوى الأولية.
إصابة متصفحات الويب الخاصة بك
وتقول شركة ReasonLabs إن العدوى تبدأ عندما يقوم الضحايا بتنزيل برامج التثبيت من مواقع مزيفة يتم الترويج لها من خلال الإعلانات الخبيثة في نتائج بحث Google.
تستخدم حملة البرامج الضارة هذه الطعوم مثل Roblox FPS Unlocker، وTikTok Video Downloader، وYouTube downloader، ومشغل الفيديو VLC، وDolphin Emulator، ومدير كلمات المرور KeePass.
تم توقيع برامج التثبيت التي تم تنزيلها رقميًا بواسطة “Tommy Tech LTD” وتتجنب بنجاح الكشف عنها بواسطة جميع محركات مكافحة الفيروسات على VirusTotal في وقت تحليلها بواسطة ReasonLabs.
المصدر: BleepingComputer
ومع ذلك، فهي لا تحتوي على أي شيء يشبه أدوات البرمجيات الموعودة وبدلاً من ذلك تقوم بتشغيل البرنامج النصي PowerShell الذي تم تنزيله إلى C:WindowsSystem32PrintWorkflowService.ps1 الذي يقوم بتنزيل الحمولة من خادم بعيد وتنفيذها على كمبيوتر الضحية.
يقوم نفس البرنامج النصي أيضًا بتعديل سجل Windows لفرض تثبيت الإضافات من متجر Chrome الإلكتروني وإضافات Microsoft Edge.
يتم أيضًا إنشاء مهمة مجدولة لتحميل البرنامج النصي PowerShell على فترات زمنية مختلفة، مما يسمح لمرتكبي التهديد بدفع المزيد من البرامج الضارة أو تثبيت حمولات أخرى.
المصدر: BleepingComputer
تم رصد البرامج الضارة وهي تقوم بتثبيت عدد كبير من ملحقات Google Chrome وMicrosoft Edge المختلفة التي ستقوم باختطاف استعلامات البحث الخاصة بك وتغيير صفحتك الرئيسية وإعادة توجيه عمليات البحث الخاصة بك عبر خوادم الجهة المهددة حتى يتمكنوا من سرقة سجل التصفح الخاص بك.
وجد ReasonLabs ما يلي جوجل كرومالامتدادات مرتبطة بهذه الحملة:
- شريط البحث المخصص – أكثر من 40 ألف مستخدم
- بحث ygl – أكثر من 40 ألف مستخدم
- شريط البحث Qcom – 40+ مستخدمًا
- بحث ربع سنوي – أكثر من 6 آلاف مستخدم
- إضافة Micro Search لمتصفح Chrome – أكثر من 180 ألف مستخدم (تم إزالتهم من متجر Chrome)
- شريط البحث النشط – أكثر من 20 ألف مستخدم (تم إزالتهم من متجر Chrome)
- شريط البحث الخاص بك – أكثر من 40 ألف مستخدم (تم إزالتهم من متجر Chrome)
- البحث الآمن باللغة الإنجليزية – أكثر من 35 ألف مستخدم (تم إزالتهم من متجر Chrome)
- بحث متساهل – أكثر من 600 مستخدم (تم إزالتهم من متجر Chrome)
المصدر: BleepingComputer
التالي مايكروسوفت ايدج الامتدادات مرتبطة بهذه الحملة:
- علامة تبويب جديدة بسيطة – أكثر من 100000 ألف مستخدم (تم إزالتهم من متجر Edge)
- منظف علامة التبويب الجديدة – أكثر من 2000 مستخدم (تم إزالتهم من متجر Edge)
- عجائب علامة التبويب الجديدة – أكثر من 7 آلاف مستخدم (تم إزالتهم من متجر Edge)
- بحث نويكس – أكثر من 1000 مستخدم (تم إزالتهم من متجر Edge)
- بحث EXYZ – أكثر من 1000 مستخدم (تم إزالتهم من متجر Edge)
- علامة التبويب “عجائب” – أكثر من 6 آلاف مستخدم (تم إزالتهم من متجر Edge)
من خلال هذه الإضافات، يقوم الجهات الخبيثة باختطاف استعلامات البحث الخاصة بالمستخدمين وإعادة توجيههم بدلاً من ذلك إلى نتائج بحث ضارة أو صفحات إعلانات تولد إيرادات للجهات الخبيثة.
بالإضافة إلى ذلك، يمكنهم التقاط بيانات اعتماد تسجيل الدخول وسجل التصفح وغيرها من المعلومات الحساسة، ومراقبة نشاط الضحية عبر الإنترنت، وتنفيذ الأوامر الواردة من خادم القيادة والتحكم (C2).
المصدر: ReasonLabs
تظل الإضافات مخفية عن صفحة إدارة الإضافات في المتصفح، حتى عند تنشيط وضع المطور، لذا فإن إزالتها معقدة.
يستخدم البرنامج الخبيث طرقًا مختلفة ليظل موجودًا على الجهاز، مما يجعل إزالته صعبة للغاية. ومن المحتمل أن يتطلب الأمر إلغاء تثبيت المتصفح وإعادة تثبيته لإكمال عملية الإزالة.
ستبحث حمولات PowerShell عن جميع روابط اختصارات متصفح الويب وتقوم بتعديلها لإجبار تحميل الامتدادات الضارة وتعطيل آلية التحديث التلقائي للمتصفح عند بدء تشغيله. وذلك لمنع تحديث الحماية المضمنة في Chrome واكتشاف البرامج الضارة.
ومع ذلك، فإنه يمنع أيضًا تثبيت تحديثات الأمان المستقبلية، مما يجعل Chrome وEdge معرضين لثغرات أمنية جديدة يتم اكتشافها.
نظرًا لأن العديد من الأشخاص يعتمدون على عملية التحديث التلقائية لمتصفح Chrome ولا يقومون بها يدويًا مطلقًا، فقد يمر هذا دون أن يتم اكتشافه لفترة طويلة.
الأمر الأكثر خبثًا هو أن البرامج الضارة ستعدل ملفات DLL التي يستخدمها Google Chrome وMicrosoft Edge لاختطاف الصفحة الرئيسية للمتصفح إلى صفحة تقع تحت سيطرة الجهة الفاعلة المهددة، مثل https://microsearch[.]أنا/.
“الغرض من هذا البرنامج النصي هو تحديد موقع مكتبات DLL للمتصفحات (msedge.dll إذا كان Edge هو المتصفح الافتراضي) وتغيير بايتات محددة في مواقع محددة داخله”، كما يوضح ReasonLabs.
“يؤدي القيام بذلك إلى السماح للبرنامج النصي باختطاف البحث الافتراضي من Bing أو Google إلى بوابة البحث الخاصة بالخصم. يتحقق من إصدار المتصفح المثبت ويبحث في البايتات وفقًا لذلك.”
الطريقة الوحيدة لإزالة هذا التعديل هي الترقية إلى إصدار جديد من المتصفح أو إعادة تثبيته، والذي من المفترض أن يحل محل الملفات المعدلة.
اتصلت BleepingComputer بشركة Google لطلب توضيحات بشأن ملحقات Chrome الأربعة التي لا تزال متاحة على متجر الويب، ونحن ننتظر ردهم.
مطلوب التنظيف اليدوي
لإزالة العدوى من أنظمتهم، يتعين على الضحايا المرور بعملية متعددة الخطوات لحذف الملفات الضارة.
أولاً، قم بإزالة المهمة المجدولة من مجدول مهام Windows، وابحث عن الإدخالات المشبوهة التي تشير إلى البرامج النصية مثل “NvWinSearchOptimizer.ps1″، والتي توجد عادةً في “C:Windowssystem32”.
ثانيًا، قم بإزالة إدخالات التسجيل الضارة عن طريق فتح محرر التسجيل (‘Win+R’> regedit) والانتقال إلى:
HKEY_LOCAL_MACHINESOFTWAREPoliciesGoogleChromeExtensionInstallForcelist
HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftEdgeExtensionInstallForcelist
HKEY_LOCAL_MACHINESOFTWAREWOW6432NodePoliciesGoogleChromeExtensionInstallForcelist
HKEY_LOCAL_MACHINESOFTWAREWOW6432NodePoliciesMicrosoftEdgeExtensionInstallForcelist
انقر بزر الماوس الأيمن على كل مفتاح يحمل اسم الامتداد الضار وحدد “حذف” لإزالته.
أخيرًا، استخدم أداة مكافحة الفيروسات لحذف ملفات البرامج الضارة من النظام، أو انتقل إلى “C:WindowsSystem32” واحذف “NvWinSearchOptimizer.ps1” (أو ملف مشابه).
قد لا يكون إعادة تثبيت المتصفح بعد عملية التنظيف ضروريًا، ولكن يوصى به بشدة بسبب التعديلات شديدة التدخل التي يقوم بها البرامج الضارة.