La force des logiciels malveillants installe des extensions Chrome sur 300 000 navigateurs, patchs DLL

























Une campagne de logiciels malveillants en cours et à grande échelle a installé des extensions de navigateur malveillants Google Chrome et Microsoft Edge dans plus de 300 000 navigateurs, modifiant les exécutables du navigateur pour détourner des pages d'accueil et voler l'historique de navigation.

L'installateur et les extensions, qui sont généralement non détectés par les outils antivirus, sont conçus pour voler des données et exécuter des commandes sur des dispositifs infectés.

La campagne a été découverte par des chercheurs de ReasonLabs qui avertissent que les acteurs de la menace derrière elle emploient divers thèmes de mal publicité pour atteindre l'infection initiale.


Infection de vos navigateurs web

ReasonLabs dit que l'infection commence avec les victimes qui téléchargent des installateurs de logiciels à partir de sites de faux sites promus par la publicité dans les résultats de recherche Google.

Cette campagne de logiciels malveillants utilise des appâts tels qu'un Roblox FPS Unlocker, TikTok Video Downloader, YouTube downloader, VLC video player, Dolphin Emulator et KeePass.

Les installateurs téléchargés sont signés numériquement par «Tommy Tech LTD» et échappent avec succès à la détection par tous les moteurs AV sur VirusTotal au moment de son analyse par ReasonLabs.


Logiciels malveillants signés par Tommy Tech



Cependant, ils ne contiennent rien qui ressemble aux outils logiciels promis et exécutent plutôt un script PowerShell téléchargé en C:-Windows-System32-PrintWorkflowService.ps1 qui télécharge une charge utile à partir d'un serveur distant et l'exécute sur l'ordinateur de la victime.

Le même script modifie également le registre Windows pour forcer l'installation des extensions à partir du Chrome Web Store et de Microsoft Edge Add-ons.

Une tâche programmée est également créée pour charger le script PowerShell à différents intervalles, permettant aux acteurs de la menace de pousser vers le bas de nouveaux logiciels malveillants ou d'installer d'autres charges utiles.


Tâche programmée pour lancer le script PowerShell



Le logiciel malveillant a été vu en installant un grand nombre d'extensions Google Chrome et Microsoft Edge différentes qui vont détourner vos requêtes de recherche, changer votre page d'accueil, et rediriger vos recherches via les serveurs de l'acteur de la menace afin qu'ils puissent voler votre historique de navigation.

ReasonLabs a découvert que les extensions suivantes sont liées à cette campagne:


  • Bar de recherche sur mesure – utilisateurs de 40K
  • yglSearch – 40K utilisateurs
  • Barre de recherche Qcom – plus de 40 utilisateurs
  • Qtr Search – 6 000 utilisateurs
  • Micro Search Chrome Extension – utilisateurs de 180 Ko (retiré de Chrome store)
  • Vie active de la barre de recherche – 20K utilisateurs (émasés de la boutique Chrome)
  • Votre barre de recherche – les utilisateurs de 40Kz (supprimés de Chrome Store)
  • Safe Search Eng – 35 000 utilisateurs (supprimés de Chrome Store)
  • Lax Search – plus de 600 utilisateurs (supprimés de Chrome Store)



Commentaires d'utilisateurs sous l'extension yglSearch



Les extensions Microsoft Edge suivantes sont liées à cette campagne:


  • Simple New Tab – 100 000 000 utilisateurs (supprimé de la boutique Edge)
  • Nettoyage Nouveau Tab – 2K utilisateurs (supprimé du magasin Edge)
  • NewTab Wonders – 7K et les utilisateurs (supprimés de la boutique Edge)
  • SearchNukes – 1 z (supprimé de la boutique Edge)
  • Recherche d'EXYz – 1 utilisateur de 1Kz (émavertie de la boutique Edge)
  • Wonders Tab – utilisateurs de 6K (supprimé de la boutique Edge)


Grâce à ces extensions, les acteurs malveillants détournent les requêtes de recherche des utilisateurs et les redirigent plutôt vers des résultats malveillants ou des pages publicitaires qui génèrent des revenus pour l'acteur de la menace.

En outre, ils peuvent capturer des identifiants de connexion, de navigation et d'autres informations sensibles, surveiller l'activité en ligne de la victime et exécuter des commandes reçues du serveur de commande et de contrôle (C2).


Manipulation d'URL pour la recherche d'un détournement



Les extensions restent cachées de la page de gestion des extensions du navigateur, même lorsque le mode développeur est activé, de sorte que leur suppression est compliquée.

Le logiciel malveillant utilise différentes méthodes pour rester persistant sur la machine, ce qui la rend très difficile à enlever. Il faut probablement désinstaller et réinstaller le navigateur pour terminer la suppression.

Les charges utiles PowerShell recherchent et modifieront tous les liens de raccourci de navigateur web pour forcer les extensions malveillantes et désactiver le mécanisme de mise à jour automatique du navigateur lorsque le navigateur est démarré.

Il s'agit d'empêcher la mise à jour des protections intégrées de Chrome et de détecter le logiciel malveillant.

Cependant, il empêche également l'installation de futures mises à jour de sécurité, laissant Chrome et Edge exposés à de nouvelles vulnérabilités qui sont découvertes.

Étant donné que de nombreuses personnes dépendent du processus de mise à jour automatique de Chrome et ne le pratiquent jamais manuellement, cela pourrait passer sans être détecté pendant longtemps.

Plus inquiétant encore, le logiciel malveillant modifiera les DLL utilisées par Google Chrome et Microsoft Edge pour détourner la page d'accueil du navigateur vers une sous le contrôle de l'acteur de la menace, comme https://microsearch[.

«Le but de ce script est de localiser les DLL des navigateurs (msedge.dll si Edge est celui par défaut) et de changer des octets spécifiques dans des emplacements spécifiques à l'intérieur de celui-ci», explique ReasonLabs.

"Faire permettre au script de détourner la recherche par défaut de Bing ou de Google vers le portail de recherche de l'adversaire.

Il vérifie la version du navigateur qui est installée et effectue une recherche dans les octets en conséquence."

La seule façon de supprimer cette modification est de passer à une nouvelle version du navigateur ou de la réinstaller, qui devrait remplacer les fichiers modifiés.

Bleeping Computerut a contacté Google pour demander des clarifications sur les quatre extensions Chrome qui restent disponibles sur le Web Store, et nous attendons leur réponse.


Nettoyage manuel requis

Pour éliminer l'infection de leur système, les victimes doivent passer par un processus en plusieurs étapes de suppression des fichiers malveillants.

Tout d'abord, supprimer la tâche planifiée du planificateur de tâches Windows, en recherchant des entrées suspectes qui pointent des scripts tels que 'NvWinSearchOptimizer.ps1,' généralement situé dans 'C:'Windows'system32'.

Deuxièmement, supprimer les entrées de registre malveillantes en ouvrant l'éditeur de registre («Win-R» regedit) et en naviguant vers:

HKEY-LOCAL-MACHINE-SOFTWARE-Policies-Google-Chrome-ExtensionInstallForcelist
HKEY-LOCAL-MACHINE-SOFTWARE-Policies-Microsoft-Edge-ExtensionInstallForcelist
HKEY-LOCAL-MACHINE-SOFTWARE-WOW6432Node-Policies-Google-Chrome-ExtensionInstallForceliste
HKEY-LOCAL-MACHINE-SOFTWARE-WOW6432Node-Policies-Microsoft-Edge-ExtensionInstallForcelist

Cliquez avec le bouton droit de la souris sur chaque touche avec le nom de l'extension malveillante et sélectionnez "Supprimer" pour les supprimer.

Enfin, soit utiliser un outil AV pour supprimer les fichiers malveillants du système, soit naviguer vers 'C:'Windows'System32' et supprimer 'NvWinSearchOptimizer.ps1' (ou similaire).

La réinstallation du navigateur après le processus de nettoyage n'est peut-être pas nécessaire, mais elle est fortement recommandée en raison des modifications hautement invasives effectuées par le logiciel malveillant.