Une campagne de logiciels malveillants en cours et généralisée a forcé l’installation d’extensions de navigateur malveillantes Google Chrome et Microsoft Edge dans plus de 300 000 navigateurs, modifiant les exécutables du navigateur pour détourner les pages d’accueil et voler l’historique de navigation.
Le programme d’installation et les extensions, qui ne sont généralement pas détectés par les outils antivirus, sont conçus pour voler des données et exécuter des commandes sur les appareils infectés.
La campagne a été découverte par des chercheurs de ReasonLabs qui avertissent que les acteurs de la menace derrière elle utilisent divers thèmes de publicité malveillante pour obtenir une infection initiale.
Infecter vos navigateurs Web
ReasonLabs indique que l’infection commence par le téléchargement par les victimes d’installateurs de logiciels à partir de faux sites promus par des publicités malveillantes dans les résultats de recherche Google.
Cette campagne de logiciels malveillants utilise des appâts tels qu’un déverrouillage Roblox FPS, un téléchargeur de vidéos TikTok, un téléchargeur YouTube, un lecteur vidéo VLC, un émulateur de dauphins et un gestionnaire de mots de passe KeePass.
Les programmes d’installation téléchargés sont signés numériquement par « Tommy Tech LTD » et échappent avec succès à la détection par tous les moteurs ANTIVIRUS sur VirusTotal au moment de son analyse par ReasonLabs.
Cependant, ils ne contiennent rien qui ressemble aux outils logiciels promis et exécutent à la place un script PowerShell téléchargé sur C:\Windows\System32\PrintWorkflowService.ps1 cela télécharge une charge utile à partir d’un serveur distant et l’exécute sur l’ordinateur de la victime.
Le même script modifie également le registre Windows pour forcer l’installation d’extensions à partir du Chrome Web Store et des modules complémentaires Microsoft Edge.
Une tâche planifiée est également créée pour charger le script PowerShell à différents intervalles, ce qui permet aux acteurs de la menace de supprimer d’autres logiciels malveillants ou d’installer d’autres charges utiles.
Le logiciel malveillant a été vu installer un grand nombre d’extensions Google Chrome et Microsoft Edge différentes qui détourneront vos requêtes de recherche, modifieront votre page d’accueil et redirigeront vos recherches via les serveurs de l’acteur de la menace afin qu’ils puissent voler votre historique de navigation.
Reason Labs a constaté que les extensions Google Chrome suivantes sont liées à cette campagne:
- Barre de recherche personnalisée – 40K + utilisateurs
- yglSearch-Plus de 40 000 utilisateurs
- Barre de recherche Qcom – plus de 40 utilisateurs
- Recherche Qtr-6K + utilisateurs
- Extension Chrome Micro Search-plus de 180 000 utilisateurs (supprimée du Chrome Store)
- Barre de recherche active-plus de 20 000 utilisateurs (supprimée du Chrome Store)
- Votre barre de recherche-plus de 40 000 utilisateurs (supprimée du Chrome Store)
- Recherche sécurisée Fra-35K + utilisateurs (supprimés du Chrome Store)
- Recherche laxiste – plus de 600 utilisateurs (supprimés du Chrome Store)
Les extensions Microsoft Edge suivantes sont liées à cette campagne:
- Nouvel onglet simple – 100 000 K+ utilisateurs (supprimés du magasin Edge)
- Nouvel onglet plus propre-2K + utilisateurs (supprimé du Edge Store)
- Merveilles de NewTab-7K + utilisateurs (supprimés du magasin Edge)
- SearchNukes-1K + utilisateurs (supprimés de la boutique Edge)
- Recherche EXYZ-1K + utilisateurs (supprimés de l’Edge Store)
- Onglet Merveilles-6K + utilisateurs (supprimés du Edge Store)
Grâce à ces extensions, les acteurs malveillants détournent les requêtes de recherche des utilisateurs et les redirigent à la place vers des résultats malveillants ou des pages publicitaires qui génèrent des revenus pour l’acteur de la menace.
De plus, ils peuvent capturer les informations d’identification de connexion, l’historique de navigation et d’autres informations sensibles, surveiller l’activité en ligne de la victime et exécuter les commandes reçues du serveur de commande et de contrôle (C2).
Les extensions restent cachées de la page de gestion des extensions du navigateur, même lorsque le mode développeur est activé, leur suppression est donc compliquée.
Le logiciel malveillant utilise diverses méthodes pour rester persistant sur la machine, ce qui le rend très difficile à supprimer. Il nécessite probablement la désinstallation et la réinstallation du navigateur pour terminer la suppression.
Les charges utiles PowerShell rechercheront et modifieront tous les liens de raccourci du navigateur Web pour forcer le chargement des extensions malveillantes et désactiver le mécanisme de mise à jour automatique du navigateur au démarrage du navigateur. Cela permet d’empêcher les protections intégrées de Chrome d’être mises à jour et de détecter le logiciel malveillant.
Cependant, cela empêche également l’installation de futures mises à jour de sécurité, laissant Chrome et Edge exposés à de nouvelles vulnérabilités découvertes.
Étant donné que de nombreuses personnes comptent sur le processus de mise à jour automatique de Chrome et ne l’exécutent jamais manuellement, cela pourrait passer inaperçu pendant longtemps.
Encore plus sournois, le malware modifiera les DLL utilisées par Google Chrome et Microsoft Edge pour détourner la page d’accueil du navigateur vers une page sous le contrôle de l’acteur de la menace, telle que https://microsearch [.] moi/.
« Le but de ce script est de localiser les DLL des navigateurs (msedge.dll si Edge est la dll par défaut) et de modifier des octets spécifiques à des emplacements spécifiques de celui-ci », explique ReasonLabs.
« Cela permet au script de détourner la recherche par défaut de Bing ou Google vers le portail de recherche de l’adversaire. Il vérifie quelle version du navigateur est installée et recherche les octets en conséquence. »
La seule façon de supprimer cette modification est de passer à une nouvelle version du navigateur ou de la réinstaller, ce qui devrait remplacer les fichiers modifiés.
Breachtrace a contacté Google pour demander des éclaircissements sur les quatre extensions Chrome qui restent disponibles sur la boutique en ligne, et nous attendons leur réponse.
Nettoyage manuel requis
Pour supprimer l’infection de leurs systèmes, les victimes doivent passer par un processus en plusieurs étapes de suppression des fichiers malveillants.
Tout d’abord, supprimez la tâche planifiée du planificateur de tâches Windows, en recherchant les entrées suspectes qui pointent vers des scripts tels que ‘NvWinSearchOptimizer. ps1,’ généralement situé dans ‘C:\Windows\system32.’
Deuxièmement, supprimez les entrées de registre malveillantes en ouvrant l’éditeur de Registre (‘Win + R’ > regedit) et en accédant à:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome\ExtensionInstallForcelist
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge\ExtensionInstallForcelist
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Google\Chrome\ExtensionInstallForcelist
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Policies\Microsoft\Edge\ExtensionInstallForcelist
Cliquez avec le bouton droit sur chaque clé portant le nom de l’extension malveillante et sélectionnez « Supprimer » pour les supprimer.
Enfin, utilisez un outil antivirus pour supprimer les fichiers malveillants du système ou accédez à ‘C:\Windows\System32’ et supprimez ‘ NvWinSearchOptimizer. ps1 ‘(ou similaire).
La réinstallation du navigateur après le processus de nettoyage peut ne pas être nécessaire, mais elle est fortement recommandée en raison des modifications très invasives effectuées par le logiciel malveillant.