Троянски кон засяга над 300 хил. потребителя, не сваляйте разширения извън легитимните магазини

Нов троянски кон, маскиран като легитмно разширение за Google Chrome и Microsoft Edge, засяга над 300 хил. потребителя. Данните са на ReasonLabs, според които зловредният код е активен от 2021 г. насам.

Основно средство за разпространение са фалшиви уебсайтове, рекламиращи популярни приложения като Roblox FPS Unlocker, YouTube, VLC media player, Steam или KeePass.

Част от функционалностите му са:

• да инсталира сложни зловредни скриптове, използващи локални разширения за кражба на лични данни и изпълнение на различни команди на засегнатото устройство;
• да модифицира регистъра на Windows за принудително инсталиране на разширения от Chrome Web Store и Microsoft Edge Add-ons, пренасочващи заявките за търсене през контролирани от нападателя сървъри.

Разширението не може да бъде деактивирано от засегнатия потребител, дори при включен режим за разработчици.

Препоръките ни за реакция при заразяване са:

• изтриване на планираната задача, която активира зловредния софтуер;
• премахване на ключовете от системния регистър;
• изтриване на следните файлове и папки от системата:

C:\Windows\system32\Privacyblockerwindows.ps1
C:\Windows\system32\Windowsupdater1.ps1
C:\Windows\system32\WindowsUpdater1Script.ps1
C:\Windows\system32\Optimizerwindows.ps1
C:\Windows\system32\Printworkflowservice.ps1
C:\Windows\system32\NvWinSearchOptimizer.ps1 – 2024 version
C:\Windows\system32\kondserp_optimizer.ps1 – May 2024 version
C:\Windows\InternalKernelGrid
C:\Windows\InternalKernelGrid3
C:\Windows\InternalKernelGrid4
C:\Windows\ShellServiceLog
C:\windows\privacyprotectorlog
C:\Windows\NvOptimizerLog